Covid-19 et cybermenaces : le pire est à venir
L'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise) a fait un point sur les cyber-risques en lien avec la crise Covid-19. Si les sinistres restent limités pour l'heure, les graines sont semées pour demain. La reprise après crise sanitaire s'annonce extrêmement délicate.
PublicitéAux côtés de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) et du courtier Marsh, l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise) a fait un point le 16 avril 2020 à l'attention de la presse sur les cyber-risques en lien avec la crise Covid-19. Bien entendu, l'approche de l'AMRAE reste celle des gestionnaires de risques, pas celle des RSSI. Si, pour l'instant, les sinistres constatés restent mineurs, les risques s'accroissent considérablement et les pirates pourraient préparer une rentrée compliquée aux entreprises. La préparation de la reprise va être un enjeu majeur pour les prochains jours et semaines, surtout face à des pressions probablement importantes sur les budgets IT (y compris les budgets de sécurité) en raison des difficultés économiques des entreprises.
La situation, telle que rappelée par l'AMRAE, est particulièrement anxiogène pour les entreprises : il y a eu une injonction paradoxale entre deux impératifs pour la survie de l'entreprise. D'un côté, il a fallu déployer rapidement les moyens nécessaires au télétravail massif. De l'autre, il a fallu maintenir les règles de sécurité et les rappeler aux collaborateurs qui, bien souvent, se sont retrouvés dans des situations de moindre sécurité et de moindre contrôle.
Risques maximums, sinistres contenus
L'AMRAE a ainsi communiqué sur des chiffres qui peuvent se révéler affolants : environ la moitié des travailleurs en télétravail, +50 % de trafic data mobile, +30 % de trafic data fixe. Surtout, il y a souvent eu un brutal mélange entre les usages professionnels et personnels, qu'il s'agisse du réseau (accès Internet à domicile) ou des postes de travail (BYOD improvisé). Dans certains cas, les collaborateurs ont dû s'adapter en catastrophe et adopter des outils peu ou mal sécurisés, choisis rapidement, tels que Zoom, pratiquement en shadow IT ou en informatique grise. Pire : des ordinateurs portables professionnels ont pu être confiés ponctuellement à des enfants pour leurs propres usages.
« C'est un vrai test de résilience car il y a de réelles opportunités qui ont pu être saisies par les pirates » a averti Philippe Cotelle, Président de la Commission Systèmes d'information de l'AMRAE. D'autres chiffres donnent réellement le tournis : +30 % des attaques DDoS, +667 % de l'hameçonnage (phishing), +80 % des demandes d'assistances à l'ANSSI (essentiellement des TPE/PME). A l'inverse, aucune brèche majeure ou perte sérieuse n'a été pour l'heure constatée, en dehors de la croissance des fraudes classiques (usurpation d'identité...). Les assureurs proposant des polices de cyber-assurances constatent pour l'heure une sinistralité qui augmente peu sur ces contrats. Par contre, la menace majeure s'étant accrue étant le hameçonnage, celui-ci amène des fraudes couvertes par des contrats dédiés et, sur ceux-là, il y a un début d'augmentation de la sinistralité.
PublicitéLe pire est toujours possible
A cela s'ajoute un autre facteur qui explique la faible sinistralité constatée par les assureurs : les victimes sont souvent des PME et celles-ci ont peu souscrit de polices de cyber-assurances. Celles qui sont couvertes ont souvent plus besoin de survivre dans la crise sanitaire actuelle et de remettre en route leur SI. Elles risquent donc de ne déclarer que dans l'avenir. La sinistralité constatée par les assureurs pourrait donc augmenter prochainement. Le vrai risque est surtout que les pirates aient profité de la situation pour préparer de futures attaques. Ainsi l'ANSSI a constaté que, en quelques semaines, 800 sites se sont créés sur le sujet du Covid-19, destinés à combler les recherches d'informations des citoyens. Or 50 % étaient malveillants ! De la captation de données à la corruption des PC (troyens, ransomwares...), c'est assez facile d'utiliser un tel site pour préparer de futures attaques.
D'un point de vue assurantiel, les garanties négociées avant dans les contrats de cyber-assurances restent totalement valables. Qu'un sinistre soit ou non lié au Covid-19 ne change rien. Mais il y a cependant une éventuelle porte de sortie pour les assureurs : le changement de risque. Le télétravail existait a priori avant la crise mais était-il bien inclus dans le contrat ? Pour l'AMRAE, les cyber-risques sont par nature mouvants et le développement du phishing ne peut pas, par contre, être considéré comme un changement de risque. Hors un cas très particulier en Belgique, aucun assureur n'a, pour l'instant, semble-t-il, invoqué de changement de risque pour s'exonérer d'une couverture d'un sinistre. La vraie question est celle du BYOD. Si le SI de l'entreprise est attaqué via le BYOD, en général la cyber-assurance couvre le sinistre. De même, la fuite de données causée par une faille via le BYOD est en principe couverte. Mais, par contre, l'attaque du PC personnel utilisé en BYOD n'est, elle, pas forcément couverte.
La sortie de crise sera peut-être le pire
A un moment donné, les outils sortis de l'entreprise vont devoir y retourner et être reconnectés aux réseaux internes. Or ces outils (terminaux notamment) peuvent très bien avoir été corrompus alors que les sécurités peuvent être moindre en interne si l'entreprise n'a pas adopté l'approche zéro trust. Il est donc indispensable de préparer la réintégration de ces terminaux. Pour l'AMRAE, il est impératif que le gestionnaire de risques (et on peut ajouter le RSSI) promeuve la prise de conscience du danger pesant sur l'IT lors de la sortie de crise sanitaire. Et il faut préparer cette sortie dès à présent.
D'un point de vue économique, la santé des entreprises étant mauvaise, le budget affecté à la sécurité des SI risque de baisser alors même que les risques s'accroissent. Côtés coût des polices d'assurances, l'AMRAE rappelle que les primes de cyber-assurances ont bien baissé ces dernières années en France et, si les sinistres s'accroissent, ces primes risquent de remonter. Enfin, plusieurs évolutions systémiques sont en elles-mêmes porteuses de risques. D'abord, les difficultés économiques ont probablement renforcé une tendance classique dans l'IT, à savoir la concentration aboutissant à des monopoles ou des petits oligopoles, les petits acteurs faisant faillite ou, fragilisés, étant rachetés. Le marché du cloud public tend ainsi à être, pour la moitié, entre les mains du seul Amazon Web Services (AWS). Le Cigref dénonçait ce risque récemment. Un incident sur AWS serait ainsi un sinistre systémique. Des problèmes similaires existent sur les connexions réseaux internationales. Surtout, les modalités de travail vont probablement beaucoup changer avec un fort développement du télétravail voire du BYOD de manière permanente. Ces changements doivent être anticipés d'un point de vue autant risques que sécurité IT.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire