Cyberattaques: un rapport parlementaire souhaite empêcher les assureurs de rembourser les rançons

Face aux attaques informatiques, plus aucune entreprise, plus aucun secteur et même plus aucun pays n'est à l'abri. Dans la plupart des cas, il s'agit d'attaques par rançongiciel qui bloquent l'activité d'une entreprise ou d'une administration jusqu'au paiement d'une rançon.

Face à cette tendance désormais lourde et chronique, les assureurs ont imaginé de nouvelles garanties en option pour couvrir ce risque auprès de leurs clients professionnels. En cas d'attaque et de paiement d'une rançon, cette dernière peut-être remboursée dans la limite d'un plafond, après franchise et enquête et dans certaines conditions.

Mais cette possibilité n'entraîne-t-elle pas une recrudescence de ce type d'attaque dans notre pays avec des entreprises qui acceptent de payer sachant qu'elles seront remboursées?

Payer c'est alimenter la cybercriminalité

C'est l'avis de la députée de la Loire, Valéria Faure-Muntian (LREM) qui écrit dans un rapport: "Le paiement des rançons alimente la cybercriminalité et rien ne garantit que la rançon payée soit un gage de retour à la situation initiale. Le paiement encourage même les cybercriminels à récidiver et en incite d'autres à concevoir des cyberattaques".

Elle propose d'inscrire dans la loi "l’interdiction pour les assureurs de garantir, couvrir ou d’indemniser la rançon et se porter davantage vers la prévention, l’accompagnement et l’assurance des conséquences pour une entreprise."

Ancienne du monde de l'assurance, elle préconise également "de sanctionner les entreprises, administrations ou collectivités qui procèdent au paiement des rançons".

En mai dernier, au cours d'une audition au Sénat, l’Anssi (l'Agence nationale de sécurité des systèmes informatiques) et le parquet de Paris avaient également fait part de cette inquiétude et avait appelé les assureurs à cesser cette pratique.

"La France est aujourd’hui l’un des pays les plus attaqués en matière de rançongiciels (…) parce que nous payons trop facilement les rançons", lâche Johanna Brousse, vice-procureure chargée de la section cybercriminalité du parquet de Paris.

Des remboursements qui n'ont rien d'automatiques

Et de dénoncer les contrats qui "garantissent le paiement des rançons" car "payer les rançons pénalise tout le monde. Cela encourage les hackeurs à s’en prendre plus facilement à notre tissu économique parce qu’ils se disent: 'de toute façon les Français payent'". *

"Nous devons mener un travail de fond pour casser ce cercle vicieux autour du paiement des rançons", ajoutait Guillaume Poupard, patron de l'Anssi.

Même si le remboursement des rançons n'a rien d'automatique (il est soumis à de nombreuses conditions), le message a été entendu par certains grands assureurs. AXA est ainsi le premier à suspendre cette garantie. La garantie "comprenant le remboursement de la rançon et le service d’accompagnement associé (est suspendue) en attendant la clarification au plan réglementaire de ce type de couverture", explique l’assureur dans un courrier envoyé à tous ses partenaires courtiers.

Pas de réglementation

Interrogé, l'assureur nous explique l'avoir fait "le temps que les conséquences soient tirées de ces analyses et que le cadre d’intervention de l’assurance soit clarifié. Il est primordial que les pouvoirs publics concrétisent leur position sur ce sujet afin de permettre à tous les acteurs du marché d’harmoniser leurs pratiques".

Mais en l'absence de réglementation précise, c'est chaque assureur qui décide ou pas de maintenir ce type de garantie, nous fait savoir la Fédération française de l'assurance. Ainsi, si Axa a décidé de suspendre cette garantie, d'autres comme Hiscox la maintient.

Pour autant, une interdiction pure et simple aurait des bénéfices importants à moyen terme puisqu'elle obligerait les entreprises à plus investir dans la sécurité informatique afin de se blinder face aux rançongiciels qui leurs coûtent des millions d'euros (blocage de la production, remise en état..).

D'un autre côté, si les entreprises sont friandes de ces garanties de remboursement, c'est qu'elles n'ont parfois pas le choix et c'est aussi parce que le "circuit légal" ne fonctionne pas. Si 47% des entreprises attaquées ont porté plainte auprès des autorités compétentes, cela n’a abouti que dans 15% des cas. Remonter le fil des attaques est un exercice complexe qui se heurte souvent aux frontières.