Plus d’un tiers des entreprises dans le monde ont subi une attaque par ransomware au cours des 12 derniers mois, selon une enquête menée en août 2021 par le cabinet d’études IDC. Les compagnies d’assurance en cybersécurité se mettent à augmenter considérablement les primes des MSP, jusqu’à en doubler le coût, aux Etats-Unis en particulier. Elles font de l’ingérence dans les services proposés en refusant parfois d’assurer les fournisseurs, d’après quelques témoignages recueillis par CRN.
« L’autre jour, j’ai reçu ma facture de renouvellement de prime d’assurance. C’était plus un coup de semonce qu’un renouvellement », confie Dawn Sizer, la PDG de 3rd Element Consulting, un MSP et spécialiste conseil implanté en Pennsylvanie. « Vous n’avez pas eu d’incident cette année mais vos taux vont augmenter de 15% parce que vous travaillez dans la technologie ». Les nouveaux prix pratiqués modifient la manière dont les fournisseurs de solutions structurent leurs activités de sécurité, ce qui lui semble ridicule : « Il est stupide que le secteur de l’assurance détermine ce que nous vendons, comment nous le vendons et en quelle quantité (…) Les fournisseurs de solutions ‘break-fix’ qui ne surveillent pas les équipements informatiques de leurs clients ne pourront plus s’assurer ».
« Les compagnies d’assurance exigent de nos clients assurés qu’ils respectent des normes, qu’il s’agisse de la configuration de l’équipement, de l’identification multifactorielle, des sauvegardes, etc. », souligne Brian Miller, le PDG de FusionTek, un fournisseur de solutions de l’État de Washington. « Avant, c’était un objectif à atteindre. Maintenant c’est une obligation (…) Les solutions de confiance zéro comme ThreatLocker et l’authentification multifactorielle (MFA) sont exigées des cyberassureurs. »
Rappelons que les assureurs en cybersécurité peuvent avoir à verser des millions pour une seule cyberattaque. L’affaire SolarWinds de 2020 a coûté environ 90 millions de dollars aux compagnies d’assurances. De plus, le président américain Joe Biden a récemment directement demandé aux dirigeants du secteur de « placer la barre plus haut en matière de cybersécurité ».
« Bienvenue dans le côté obscur de la transformation numérique », raille Frank Dickson, vice-président du programme des produits de cybersécurité chez IDC, dans un communiqué. « Les rançongiciels sont de plus en plus sophistiqués, se déplacent latéralement, échappent à la détection, exfiltrent les données et s’appuyent sur une extorsion à multiples facettes ». Aux Etats-Unis, seuls 13% des organisations ayant subi une attaque par ransomware n’ont pas payé la rançon, selon IDC.
D’ici 2031, les ransomwares coûteront plus de 265 milliards de dollars par an à leurs victimes, d’après les chercheurs de Cybersecurity Ventures, contre environ 20 milliards de dollars cette année.