Target a été victime en novembre 2013 de l’une des plus importantes cyberattaques de ces dernières années : 40 millions de données bancaires et 70 millions de données personnelles volées. Avec un tiers de la population américaine touchée pendant les fêtes de fin d’année, des obligations de notification massive, une attaque préméditée et sophistiquée, Target est devenu un cas d’école décortiqué par les experts de tous bords (experts techniques, juristes, politiques, communicants…), aux 4 coins du globe. Mieux encore, Target est également devenu l’illustration parfaite du rôle que peut jouer la cyber-assurance dans une attaque de cette ampleur. Que retenir de ce cyber-casse du siècle ?
Retour sur l’attaque Target : 40 millions de données bancaires subtilisées
Entre le 27 Novembre 2013 et le 15 Décembre 2013, Target s’est fait subtiliser plus de 40 millions de données bancaires, auxquelles s’ajoutent 70 millions de données personnelles. La méthode d’attaque est classique, mais bien exécutée : les attaquants ont en premier lieu piraté un sous-traitant du distributeur chargé de la surveillance à distance des systèmes de chauffage et de climatisation. Le système de facturation externe de Target auquel le sous-traitant (et donc les attaquants) avait accès n’étant pas complétement isolé du réseau interne, les cyber-criminels ont réussi à s’y infiltrer, à voler 70 millions de données personnelles, et à installer un logiciel malveillant sur quelques terminaux de paiements. Après des tests concluants sur les magasins concernés, ils ont décidé, peu avant Noël où l’affluence est la plus forte, de déployer leur malware sur la plupart des terminaux de paiements des magasins du territoire américain.
Les motivations des attaquants sont purement financières. En effet, une donnée personnelle se vend sur le marché noir entre 0,25$ et 2$ environ, tandis qu’une donnée bancaire peut rapporter plusieurs dizaines de dollars. Les gains sont donc potentiellement colossaux pour les attaquants !
Quel coût pour Target ?
Ponemon Institute annonce dans son rapport de 2013 un coût moyen de 130$ par donnée subtilisée, ce qui nous amènerait dans le cas de Target à un montant de plus de 14 milliards de dollars ! Il est cependant très peu probable dans ce cas que de tels montants soient atteints… quoique.
Les conséquences financières de l’attaque pour Target sont multiples. Hormis la perte de clientèle suite à la médiatisation de l’incident, Target a dû faire face à de nombreux coûts : frais d’expertise technique pour colmater la brèche, frais de notification, frais de credit monitoring… et devra faire face à de nombreux autres : amendes règlementaires, procès…
Target a récemment déclaré avoir dépensé 61 millions de dollars pour le moment suite à l’attaque. Ce montant, a priori assez faible au regard de l’importance de la crise (rien que les coûts de credit monitoring devraient dépasser ce chiffre, sans compter les frais de notification), est dans tous les cas assez loin du coût final. En effet, s’il est prouvé que Target n’était pas en conformité avec le standard PCI-DSS au moment de l’attaque, le distributeur peut encourir une amende de 90$ par donnée bancaire, soit 3,6 Md$. De plus, les banques tenteront dans ce cas de se faire rembourser la réémission des dizaines de millions de cartes reconstruites ainsi que les fraudes associées, tandis que les individus touchés intenteront probablement une class-action (procès collectif) à l’encontre de Target…
Et la cyber-assurance dans tout ça ?
C’est là que la cyber-assurance prend tout son sens, en indemnisant une partie non négligeable de ces coûts. La cyber-assurance prend en effet en charge les frais suivants :
Target a déclaré que sur les 61 millions de dollars dépensés, 44 ont été pris en charge par la cyber-assurance, l’ensemble des garanties souscrites par Target s’élevant à 165 M$ environ.
Cependant et il est important de le noter, la cyber-assurance ne couvrira pas la perte de clientèle et la chute du cours de l’action en bourse, qui restent des impacts importants mais difficilement chiffrables.
Il convient également de remarquer que l’attaque en question touche les terminaux de paiements, soit le SI « métier » qui peut parfois faire l’objet d’exclusions dans les contrats de cyber-assurance. Il est donc primordial de tester sa couverture via des scénarios d’attaques concrets.
La difficulté d’estimer le coût d’un scénario catastrophe et des garanties nécessaires
Pour traiter ce type de risque, la cyber-assurance peut donc avoir un rôle à jouer. Cependant, le montant de garantie à souscrire n’est pas simple à déterminer. Il influe directement sur le montant de la prime annuelle à payer par l’assuré, il faut donc trouver le juste milieu entre garantie et coût. Pour ce faire, une analyse détaillée des coûts par scénario peut être menée. Celle-ci permettra d’estimer le montant de garantie complémentaire nécessaire, une fois déduites les garanties des éventuelles autres assurances couvrant une partie du risque : Responsabilité Civile, Tous Risques Informatiques…
Mais ces estimations peuvent amener à des chiffres astronomiques, dépassant allègrement les 500 à 600 millions d’euros pour des acteurs B2C d’ampleur. Le coût de l’assurance en regard est alors élevé, mais judicieux au vu de la multiplication des incidents actuellement. Des grandes entreprises n’hésitent plus à investir 1 million d’euros par an pour ce type de contrat. Les capacités du marché français sont d’ailleurs en constante augmentation, atteignant aujourd’hui jusqu’à 500 millions d’euros de garanties par police d’assurance.
Mais attention à ne pas faire ces dépenses au détriment de l’augmentation du niveau de sécurité de l’entreprise. Car l’assurance n’empêche pas l’incident ! Le cas Target montre bien que des signaux d’alertes ont été ignorés.
Target apparait donc comme une illustration parfaite du rôle de la cyber-assurance dans le cas d’une cyber-attaque majeure. Cependant, un travail non négligeable d’estimation des coûts est nécessaire pour déterminer le montant de garantie à souscrire, afin d’optimiser le montant de la prime annuelle. Et ceci sans oublier de protéger son système d’information des menaces cybercriminelles de plus en plus pointues !