Nous vivons dans un monde ultra-connecté où les virus d’hier ne sont pas ceux d’aujourd’hui. La menace cybercriminelle évolue. Les virus sont de plus en plus sophistiqués. Les attaques de plus en plus ciblées. Banques, compagnies d’assurances, hôpitaux, collectivités territoriales ou encore opérateurs téléphoniques, les hackers cherchent à atteindre les grandes entreprises. En présence de systèmes d’information mis à jour régulièrement, ils s’attaquent à la supply chain, aux sous-traitants dont les protections numériques sont moins matures.

Alors que l’échange de données est une constante aujourd’hui, les flux d’informations apparaissent comme de véritables portes ouvertes vers les grandes entreprises. Une vigilance doit donc être portée partout, tout le temps. Mais comment fonctionnent ces réseaux de hackers ? Quels sont les moyens mis en place ? Deux questions qui permettent d’appréhender deux volets centraux du cyber dans le monde de l‘assurance : la réponse à incident et l’expertise.

 

Un écosystème cybercriminel

Aux quatre coins du globe, nous faisons face à un échiquier gigantesque où des groupes de hackers, s’affrontent, collaborent, louent et achètent selon leurs intérêts. Lorsque ces derniers sont divergents, ils n’hésitent pas à se livrer une guerre au moyen de sommes faramineuses. En effet, toute une économie parallèle s’est installée, un écosystème à part, sous les radars. A l’heure actuelle, les attaques cybercriminelles représentent 1500 milliards de dollars uniquement présents sur des marchés illégaux, des plateformes illicites comme le darkweb par exemple. Le contexte économique derrière nous, le stéréotype du hacker immobile devant son écran, masqué par sa capuche est loin. Il existe une pluralité de ramifications dans l’écosystème cybercriminel.

Le principal objectif des hackers reste d’obtenir des accès pour forcer le système d’information d’une entreprise. Une fois ces accès obtenus, ils sont vendus à d’autres groupes de hackers. Les prix sont variables selon l’importance de la cible. Désormais détenteur de ces codes d’accès, le groupe de hackers en question va louer un ransomware, un logiciel chiffrant les données piratées avant de réclamer un paiement contre une clé de déchiffrage. Pour se le procurer, ils se fournissent auprès d’autres hackers spécialisés dans l’élaboration de virus. Outre la location du virus, le groupe de hackers va également s’équiper de ressources en ligne pour optimiser la portée de son attaque, faciliter la diffusion et augmenter la puissance de calcul du virus. Une attaque sophistiquée coûte de l’argent mais reste résolument rentable. Rentable pour l’ensemble de la chaîne puisque tous touchent un pourcentage une fois la rançon payée.

Les ransomwares ne sont estimés qu’à 1 milliard de dollars, soit 1% de l’écosystème cybercriminel. A l’inverse, les hackers ne cherchent parfois qu’à recueillir de l’information sans être détecté. En général, la cible est une institution, un acteur économique important dans la vie d’un pays. Dès lors, nous entrons dans une dimension bien plus malsain. Tous les détails, des allergies aux habitudes alimentaires en passant par les hospitalisations, sont recueillis dans le but d’être vendus à des organisations criminelles ou étatiques, à des fins d’espionnage parfois. Ce type de virus n’a rien à voir avec notre prochain exemple, le wiper. Sous la forme initiale d’un ransomware, ce ver informatique détruit et efface toutes les données qu’il infecte. Ce type de virus est notamment responsable des dernières cyberattaques mondiales. En dépit de cette pluralité de virus, la majorité des revenus générés par le hacking est issue de la collecte des données personnelles, appelée phishing. En 2018, ce ne sont pas moins de 5 milliards de données qui ont été piratées et revendues. Une réelle inquiétude, à l’heure où nos données sont de plus en plus nomades et notre monde en proie à la psychose d’une actualité dense.

 

L’actualité, un terreau d’opportunités

Ce genre d’actualités, particulièrement anxiogènes, est un terreau fertile pour le hacking. En effet, notre quotidien est actuellement animé par les évolutions et la propagation du coronavirus autour de la planète. Jouant sur les peurs et les angoisses de chacun, de nombreuses campagnes de phishing sont d’ores et déjà apparues. Identifiants, mots de passe, coordonnées bancaires, professions, tous sont des indicateurs sur notre vie, visés lors du phishing (ou hameçonnage) et utilisés dans un but bien précis : la fraude et l’usurpation d’identité. Exemple : par l’intermédiaire de vos données, vos activités ou encore vos habitudes, les hackers « forgent » un faux mail à envoyer à votre supérieur pour demander un règlement de devis avec un RIB afférent. Vous devenez le point d’entrée dans l’entreprise, un vecteur pour la diffusion de logiciels malveillants.

A ce titre, les situations de crise constituent des moments opportuns pour les campagnes de phishing. Les victimes, inquiètes pour elles et leurs proches, font moins attention et baissent leur vigilance. Pour les piéger, les hackers envoient des mails, montés de toutes pièces, adaptant les mises en page officielles du gouvernement ou de l’institution médicale. Les tournures de phrases respectent les codes et le style des autorités. Une fois le mail ouvert, vous êtes invités à cliquer sur un lien pour connaître les précautions à suivre en cas d’épidémie par exemple. Dès aujourd’hui, il nous est possible de faire mention d’au moins deux campagnes de phishing en Asie.

A Singapour, nombre d’internautes ont été lésés par un PDF malveillant nommé Safe Measure. L’ordinateur de la victime se retrouve immédiatement infecté par la charge utile du malware, son composant agressif. Au nord-est de la Malaisie et au Japon, un autre lien malveillant invitait les victimes à cliquer pour en savoir plus sur les réglementations et les différentes mesures de protection à tenir vis-à-vis du coronavirus. Le simple fait de cliquer sur ce lien lance le téléchargement d’un cheval de Troie bancaire intitulé Emotet. Identifié depuis 2014, ce virus est polymorphe et change de représentation à chaque envoi. Ce qui complique sa détection. Dans le cas nippon, Emotet cherche toutes les informations sur les moyens de paiement employés par la victime. Ajoutons à ces campagnes d’hameçonnage, la mise en place de fausses cagnottes, des exfiltrations d’informations transférées directement vers les serveurs pirates, des keyloggers à savoir des logiciels espions capables d’enregistrer toutes les saisies sur ordinateur et effectuer des captures d’écran. Autant d’éléments qui prouvent que la cybercriminalité est protéiforme. L’expertise dédiée se doit donc de s’adapter afin de fournir une réponse appropriée à son client.

 

Isoler, préconiser, chiffrer

Un gestionnaire spécialisé en réponse à incident intervient dès appel de l’assuré. A son arrivée et selon la typologie de dossier, il accompagne les prestataires en cellule de crise. Tout un volet de son intervention se consacre également à la communication de crise. Un point important puisque ces messages sont adressés en interne, aux collaborateurs, en externe, aux clients mais également aux hackers responsables de l’attaque. Il fournit ensuite les ressources techniques, coordonne et pilote les équipes engagées par l’assuré afin d’endiguer l’incident. Dans le cas d’un ransomware, il est vital d’isoler l’attaque avant de se lancer dans le forensic, l’analyse des journaux d’événements. La réponse à incident consiste également à déterminer les causes, les circonstances, l’origine et la nature du virus. Son but n’en est pas moins d’attirer l’attention des entreprises sur les failles de leur système d’information afin de renforcer leur sécurité future.

Dans un second temps, à partir des éléments partagés par la réponse à incident, l’expert en assurance présente les causes et circonstances, étudie l’opportunité d’un recours, évalue les améliorations et les préconisations. Ensuite, il donne un avis sur les garanties, et évalue les impacts métiers et financiers de cette attaque. Par exemple, si la faille se situe chez le sous-traitant, le dossier entre alors en responsabilité civile car des dommages ont été causés à un tiers. Du fait de sa récurrence, il s’agit d’une tendance à ne plus négliger dans l’expertise cyber.

Le chiffrage est également une part primordiale de l’expertise cyber comportant son lot de difficultés, notamment lorsqu’un système d’exploitation est complètement détruit. Tout un travail d’analyse assez fin est nécessaire. Le chiffrage des dommages doit être trié entre ce qui relève de l’amélioration, de la mise en conformité et de la reconstruction à l’identique du système, clause habituellement présente dans les contrats d’assurance. Cependant, ce dernier ne peut être reconstruit comme précédemment car vulnérable. Dès lors commence la phase de remédiation, celle de la remise en place du système d’information pendant laquelle l’Agence Nationale de la sécurité des systèmes d’information (ANSSI) peut assister l’assuré. En moyenne, un système informatique doit être renouvelé tous les 5 ou 7 ans. Une condition indispensable pour se mettre à jour vis-à-vis de problématiques numériques en constante évolution.

 

La cybercriminalité est un sujet vaste et incertain. Nous sommes face à un écosystème parallèle où plusieurs groupes de hackers s’affrontent ou collaborent, générant ainsi des milliards de dollars. Les virus se développent et s’adaptent. Il en est de même pour l’expertise cyber, de concert avec les normes européennes. Il est désormais nécessaire d’avoir une vision européenne sur la protection des données. A ce titre, les gestionnaires d’INQUEST informent et sensibilisent l’assuré sur les actions nécessaires au regard du règlement européen sur la protection des données (RGPD) et ce, de la grande entreprise cyber-sécurisée à ses prestataires moins matures sur la question.

Données personnelles - Mentions légales