Les systèmes de stockage d'énergie par batterie peuvent rendre les entreprises plus durables et plus vulnérables aux pirates : Risque et assurance

Après avoir subi une attaque par rançongiciel, une équipe de chefs d'entreprise s'est sentie convaincue qu'elle n'avait pas besoin de céder aux demandes de paiement des attaquants.

Bien que leurs fichiers aient été cryptés par le gang des rançongiciels, ils disposaient de sauvegardes solides. Ils avaient contacté leur cyber-assureur, qui les avait mis en contact avec un avocat et un spécialiste médico-légal. Ces experts les ont aidés à entrer en contact avec le FBI, qui disposait d'une clé de déchiffrement pour ce gang de rançongiciels particulier. Tout semblait bien se passer jusqu'à ce qu'ils entrent la clé et découvrent qu'un certain nombre de fichiers de leurs machines virtuelles étaient toujours verrouillés.

"Il s'est avéré qu'un autre gang de rançongiciels avait également chiffré son système", a déclaré Danielle Roth, responsable des réclamations cyber et technologiques pour AXA XL.

L'entreprise a donc dû pivoter. Elle avait besoin de remettre ses machines en marche. Le négociateur de la rançon a contacté le deuxième groupe d'acteurs de la menace, qui a demandé à l'équipe de continuer à négocier avec le premier groupe. L'assuré a finalement récupéré ses fichiers, après avoir payé le premier groupe d'attaquants, qui a ensuite fait libérer la clé de déchiffrement au second groupe.

Ce cas était unique - il est rare que les entreprises soient attaquées par deux gangs de rançongiciels en même temps. Mais c'est un exemple de la façon dont les attaquants deviennent plus créatifs dans leurs efforts pour chiffrer les fichiers et extorquer des paiements aux entreprises.

Des tactiques comme la double extorsion, les fuites de données sensibles et les attaques personnalisées mettent les entreprises en danger, alors même que beaucoup adoptent des défenses de sécurité critiques.

Danielle Roth, responsable des sinistres cyber et technologiques, AXA XL

Après des augmentations massives en 2021, le nombre d'attaques de rançongiciels et le montant des rançons ont légèrement diminué en 2022, selon Roth. Ces baisses peuvent être attribuées aux entreprises qui adoptent des mesures de sécurité telles que l'authentification multifacteur, des sauvegardes fiables et une activité accrue des forces de l'ordre.

"Les forces de l'ordre sont beaucoup plus actives", a déclaré Roth. "Les acteurs de la menace sont très conscients que s'ils visent trop haut, ils se mettent vraiment en danger."

Une diminution entre 2021 et 2022 ne signifie pas pour autant que les cyberattaques disparaissent. Roth a noté que le nombre d'attaques augmentait à nouveau au premier trimestre 2023 alors que les pirates essayaient de nouvelles stratégies pour s'emparer des données de l'entreprise et forcer les paiements.

"Ce n'est pas nécessairement que les exigences sont plus élevées, mais les acteurs de la menace sont beaucoup plus concentrés maintenant", a déclaré Roth.

C'est là qu'interviennent des tactiques telles que la double extorsion. Avec la double extorsion, un cybercriminel peut demander une rançon avant de fournir une clé de déchiffrement tout en menaçant de divulguer des données sensibles s'il n'est pas payé. Cette tactique cible les entreprises disposant de sauvegardes solides, qui n'ont peut-être pas besoin de récupérer leurs fichiers cryptés, et exerce une pression supplémentaire sur la haute direction en menaçant la réputation d'une entreprise.

"S'il s'agit d'un établissement de soins de santé, ils pourraient rechercher des vidéos ou des dossiers médicaux privés ou des photos, ce qui pourrait être très pénible pour quelqu'un s'il est libéré", a déclaré Roth.

"C'est en fait assez bouleversant que les acteurs de la menace s'en prennent aux employés et aux informations sur la santé des gens de cette manière."

Les attaques de double extorsion ont prospéré en partie parce que certains chefs d'entreprise pourraient avoir une idée fausse de la quantité de données que les attaquants pourraient potentiellement divulguer lors d'un événement de ransomware. "Il y a des années, je pense, il y avait une perception erronée selon laquelle les attaques de ransomwares n'étaient pas des violations avant que les informations ne commencent à être exfiltrées", a déclaré Roth.

"Les gens n'engageraient pas d'avocat; ils engageraient un fournisseur de médecine légale, et une fois qu'ils pourraient à nouveau utiliser leur système, c'était tout. Ils pensaient qu'ils avaient terminé."

En plus d'utiliser des tactiques de double extorsion et de menacer de divulguer des données sensibles, les acteurs de la menace lancent des attaques plus ciblées contre les entreprises.

"Ils sont très concentrés sur ce à quoi ils accèdent et l'utilisent pour faire pression sur l'organisation", a déclaré Roth.

Les cybercriminels peuvent passer des heures à rechercher des entreprises, à déterminer comment ils peuvent se faire passer pour des cadres supérieurs lors d'attaques de phishing afin d'inciter d'autres employés à fournir les identifiants de connexion nécessaires pour accéder au système. Lors d'attaques plus sophistiquées, ils contacteront les employés en utilisant le nom de domaine de l'entreprise, de sorte que "il semble que cela provienne de l'intérieur du bâtiment", a expliqué Roth.

Les fuites de données sont également conçues pour s'attaquer aux points faibles d'une entreprise. Les acteurs malveillants peuvent menacer de divulguer des informations sensibles appartenant à l'employé qu'ils ciblent lors d'une attaque. Ils peuvent également contacter des clients (ou des patients, dans le cas d'un système de soins de santé), menaçant de divulguer leurs données afin que les clients exhortent l'entreprise à payer la rançon.

"Les gens pourraient faire pression sur l'entreprise, s'il s'agit de leur employeur ou s'ils sont un patient, pour payer la rançon, de sorte que leurs informations ne soient pas diffusées de cette manière", a déclaré Roth.

Si les cybercriminels ont prouvé une chose ces dernières années, c'est qu'ils continueront à faire évoluer leurs tactiques pour s'introduire dans les systèmes des entreprises, exfiltrer leurs données et exiger un paiement. Les assurés doivent s'associer à des assureurs dont les équipes sinistres sont prêtes à les aider à faire face à ces risques en constante évolution.

"Tout le monde peut toujours s'améliorer, et tout le monde devrait garder un œil sur le ballon et rester concentré là-dessus", a déclaré Roth.

Les assurés doivent s'assurer qu'ils organisent régulièrement des formations à la cybersécurité - y compris des exercices de phishing avec leurs employés, ainsi que des exercices sur table au moins une fois par an - pour s'assurer qu'ils savent quoi faire en cas de cyberattaque. AXA XL s'associe à un certain nombre de fournisseurs qui proposent des services de conseil en cybersécurité sur des sujets sélectionnés par les assurés afin de les aider à améliorer leurs défenses.

"Cela pourrait être une formation des employés, des exercices d'hameçonnage, tout cela. Il ne s'agit que de conseils et d'astuces, afin que les assurés sachent à quoi faire attention, car je pense que la sensibilisation est vraiment importante", a déclaré Roth.

En cas d'attaque, la hotline 24h/24 et 7j/7 d'AXA XL est là pour apporter un soutien aux assurés. La ligne téléphonique est surveillée toute la journée, tous les jours, par l'équipe d'intervention en cas d'incident cybernétique de l'assureur. L'équipe peut conseiller les assurés sur les mesures qu'ils doivent prendre immédiatement, les mettre en contact avec des avocats en cas de violation, des équipes médico-légales et d'autres fournisseurs de support, et généralement fournir tout le support nécessaire pour limiter l'étendue de l'attaque.

"Nos assurés sont capables de se présenter très rapidement devant quelqu'un et de parler de ce qui se passe", a déclaré Roth.

"Il peut être très difficile pour les entreprises de comprendre ce qu'elles doivent faire dans cette situation de haute pression. Elles peuvent nous appeler depuis un emplacement centralisé et obtenir des recommandations pour les cabinets d'avocats, les fournisseurs médico-légaux et les sociétés de relations publiques, etc. Nous avons les a déjà examinés et pré-négocié les tarifs. Cela leur prend des heures et des heures de démarches qu'ils auraient autrement à entreprendre.

La réactivité de la hotline d'AXA XL peut faire la différence pour les assurés victimes d'un manquement. Roth se souvient d'une situation récente où un assuré a appelé les forces de l'ordre fédérales, qui ont confirmé que l'entreprise subissait une cyberattaque active un vendredi soir.

Immédiatement après avoir reçu l'appel, la gestionnaire des réclamations a quitté son cours d'entraînement et a contacté un conseiller juridique et une équipe médico-légale. L'équipe a pu se réunir dans la demi-heure suivant la détection de la violation et prendre des mesures pour empêcher l'intrusion de dégénérer en une attaque de ransomware, empêchant ainsi l'entreprise de subir bon nombre des pertes majeures associées aux demandes de ransomware.

"Ils n'ont pas de temps d'arrêt. Ils n'ont pas ce risque de réputation. Ils ne sont pas exposés aux réclamations de tiers de la même manière. Ils ne paient pas de rançon et ne subissent pas ce risque", a déclaré Roth. "C'était une vraie success story."

Pour en savoir plus, visitez : https://axaxl.com/insurance/product-families/cyber.

Cet article a été réalisé par le R&I Brand Studio, une unité de la régie publicitaire de Risk & Insurance, en collaboration avec AXA ​​XL. La rédaction de Risk & Insurance n'a joué aucun rôle dans sa préparation.