La présence d’une cyber-assurance incite les hackers à hausser leurs rançons. Voici comment anticiper cette stratégie de plus en plus ciblée.
Une rançon jusqu’à 5,5 fois plus élevée dès qu’une assurance est repérée
2,8 fois. C’est l’augmentation moyenne du montant de la rançon lorsqu’un groupe de ransomware découvre qu’une entreprise dispose d’une cyber-assurance. Et si des données sensibles sont exfiltrées, le chiffre bondit à 5,5 fois. Ces résultats, issus de l’étude approfondie de Tom Meurs, chercheur au sein de la police néerlandaise et à l’Université de Twente, s’appuient sur l’analyse de 453 attaques survenues entre 2019 et 2021.
Pourquoi cette flambée des montants ? Une fois dans le système d’une entreprise, les cybercriminels cherchent activement tout indice d’une police d’assurance : contrats PDF, courriels, captures d’écran. Leur logique est simple : une assurance signifie une capacité financière à payer, donc une opportunité d’augmenter leur butin.
Cette pratique n’est pas isolée. Dans les discussions interceptées sur les marchés clandestins et dans les échanges entre cybercriminels, la cible idéale est clairement identifiée : des entreprises assurées, éventuellement du secteur des TIC, dont l’activité est critique pour plusieurs clients.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Cyber-assurance : une protection à double tranchant
La cyber-assurance a été conçue pour atténuer l’impact financier des cyberattaques. Mais, paradoxalement, l’étude de Tom Meurs montre que cette protection peut attiser l’appétit des attaquants. Les entreprises assurées cèdent ainsi aux demandes de rançon dans 44 % des cas, contre seulement 24 % pour les entreprises non assurées.
L’effet est également flagrant sur les montants versés : en moyenne, 800 000 dollars pour une entreprise assurée, contre 150 000 dollars pour celles sans assurance. Un facteur explicatif avancé est celui du « risque moral » : puisque l’assurance couvre (partiellement) les pertes, la tentation de payer est plus forte.
| Situation | Impact sur la rançon | Taux de paiement |
|---|---|---|
| Entreprise sans cyber-assurance | Montant moyen de 150 000 USD | 24 % des cas |
| Entreprise avec cyber-assurance | Montant moyen de 800 000 USD (+2,8x) | 44 % des cas |
| Cyber-assurance détectée + données sensibles exfiltrées | Rançon multipliée en moyenne par 5,5 | Non précisé |
| Entreprise avec solution de sauvegarde robuste | 27 fois moins susceptible de payer une rançon | Très faible (non chiffré précisément) |
Pour les cybercriminels, l’assurance devient ainsi un véritable indicateur de richesse exploitable. Cette dynamique est exacerbée par une forme de « discrimination par le prix » : les attaquants adaptent leur demande à la taille perçue de l’entreprise et à sa capacité à payer.
La sauvegarde, meilleure arme contre le chantage
Face à cette stratégie des cybercriminels, une riposte se distingue clairement : les sauvegardes résilientes. Selon l’étude, les entreprises dotées d’une solution de sauvegarde robuste sont 27 fois moins susceptibles de payer une rançon.
La sauvegarde permet en effet de restaurer les systèmes compromis sans céder au chantage. Encore faut-il qu’elle soit correctement implémentée : hors ligne, testée régulièrement, et isolée du réseau principal pour éviter sa compromission lors de l’attaque.
Tom Meurs souligne également que la simple existence d’une sauvegarde ne suffit pas à dissuader l’attaque initiale, mais qu’elle change radicalement la négociation en cas d’incident. À l’inverse, l’absence de sauvegarde place la victime en situation de faiblesse, notamment en cas de double extorsion liée à la menace de divulgation de données.
Secteurs les plus visés et spécificités
Le secteur des technologies de l’information et de la communication (TIC) est particulièrement exposé. Les entreprises de ce secteur, souvent prestataires de nombreux autres acteurs, subissent une pression supplémentaire pour restaurer rapidement leurs services, ce qui augmente leur propension à payer.
La thèse de Meurs met aussi en évidence que le chiffre d’affaires d’une entreprise influence le montant exigé, mais pas directement la décision de payer. Cela confirme que les cybercriminels adoptent une approche économique adaptative, exploitant toutes les informations à leur disposition pour maximiser leurs profits.
Éviter de devenir une cible idéale
Pour limiter le risque d’être considéré comme une cible rentable, plusieurs bonnes pratiques émergent clairement de l’étude :
- S’assurer que les documents sensibles, notamment les contrats d’assurance, soient chiffrés et difficilement accessibles.
- Mettre en place une stratégie de sauvegarde fiable et déconnectée.
- Former les collaborateurs à détecter les comportements suspects.
- Intégrer la cyber-résilience dans la négociation et la rédaction des contrats d’assurance, pour éviter d’encourager involontairement les paiements.
Les résultats de Tom Meurs apportent un éclairage précieux : dans un écosystème où chaque information peut être exploitée, la prudence n’est pas un luxe, mais une nécessité stratégique.
Pour en savoir plus
Devinez ce qui se passe lorsque les pirates informatiques trouvent une « police d’assurance » dans vos fichiers.
Il s’agit d’un nombre proche de trois ou six selon la situation dans laquelle vous vous trouvez. Les opérateurs de ransomware augmentent leurs demandes de rançon d’un facteur de 2,8 s’ils détectent qu’une victime possède une cyber-assurance, selon une étude mise en évidence par les Pays-Bas…
Les opérateurs de ransomwares exigent davantage s’ils détectent une cyber-assurance
Les opérateurs de ransomwares exigent davantage s’ils voient que leur victime possède une cyber-assurance. Les entreprises disposant d’une cyber-assurance paient généralement des demandes de rançon plus élevées. Celles qui disposent d’une solution de sauvegarde sont moins susceptibles de payer du tout. Les opérateurs de ransomwares exigeront beaucoup plus d’argent s’ils…
(Re)découvrez également:
Baisse de 35% des paiements de ransomwares en 2024
En 2024, les paiements liés aux ransomwares ont diminué de 35 %, grâce aux mesures de cybersécurité et à l’intervention des forces de l’ordre.
Cette veille indépendante vous est utile ?
Offrez un café pour soutenir le serveur (et le rédacteur).
