Pourquoi les assureurs pourraient arrêter de couvrir le risque des rançongiciels subis par les entreprises

2020 a clairement été l'année du rançongiciel, avec des attaques multiples visant tous types d'entreprises dans tous les secteurs. Et ce début d'année ne déroge pas à la règle.

Selon la 6e édition du baromètre annuel du Cesin (le Club des Experts de la Sécurité de l'Information et du Numérique) réalisé par Opinion Way, une entreprise française sur cinq (19%) déclare avoir subi au moins une attaque par ransomware au cours de l’année dernière (57% en englobant tous les types d'attaques).

Selon une autre étude sur la cybersécurité dans les PME et les TPE menée par l'assureur Hiscox, près de deux entreprises sur trois acceptent de payer une rançon pour débloquer leurs systèmes d'information ou leurs fichiers. Même si ce chiffre est à prendre avec des pincettes, il illustre l'ampleur du phénomène.

Payer la rançon et se faire rembourser

Face à cette tendance, les assureurs ont imaginé de nouvelles garanties en option pour couvrir ce risque auprès de leurs clients professionnels. Schématiquement, en cas d'attaque et de paiement d'une rançon, cette dernière peut-être remboursée dans la limite d'un plafond et après franchise.

Mais cette possibilité n'entraîne-t-elle pas une recrudescence de ce type d'attaque dans notre pays avec des entreprises qui acceptent de payer sachant qu'elles seront remboursées?

Au cours d'une audition au Sénat il y a une quinzaine de jours, l’Anssi (l'Agence nationale de sécurité des systèmes informatiques) et le parquet de Paris ont fait part de ce reproche aux assureurs et ont appelé à cesser cette pratique. 

AXA est ainsi le premier à suspendre cette garantie, comme le révèle News Assurance Pro. La garantie "comprenant le remboursement de la rançon et le service d’accompagnement associé (est suspendue) en attendant la clarification au plan réglementaire de ce type de couverture", explique l’assureur dans un courrier envoyé à tous ses partenaires courtiers.

Interrogé, l'assureur nous explique: "le remboursement des rançons est devenu un sujet de place pour la cyber-assurance. Dans ce contexte, AXA France, qui avait complété sa gamme d’une option en ce sens, a jugé opportun d’en suspendre la commercialisation le temps que les conséquences soient tirées de ces analyses et que le cadre d’intervention de l’assurance soit clarifié. Il est primordial que les pouvoirs publics concrétisent leur position sur ce sujet afin de permettre à tous les acteurs du marché d’harmoniser leurs pratiques".

Encourager les hackers

Il faut dire que les accusations de l'Anssi et du parquet sont sévères. "La France est aujourd’hui l’un des pays les plus attaqués en matière de rançongiciels (…) parce que nous payons trop facilement les rançons", lâche Johanna Brousse, vice-procureure chargée de la section cybercriminalité du parquet de Paris.

Et de dénoncer les contrats qui "garantissent le paiement des rançons" car "payer les rançons pénalise tout le monde. Cela encourage les hackeurs à s’en prendre plus facilement à notre tissu économique parce qu’ils se disent: 'de toute façon les Français payent'".

Même tonalité de la part de Guillaume Poupard, patron de l'Anssi qui qualifie de "jeu trouble" ces garanties. "Les entreprises préfèrent payer quelques millions de rançons plutôt que quelques dizaines de millions au titre de la perte des données garantie par la police d’assurance contractée. Nous devons mener un travail de fond pour casser ce cercle vicieux autour du paiement des rançons".

En l'absence de réglementation précise, c'est chaque assureur qui décide ou pas de maintenir ce type de garantie, nous fait savoir la Fédération française de l'assurance. Ainsi, si Axa a décidé de suspendre cette garantie, d'autres comme Hiscox la maintient.

Les assureurs se défendent

"Nous n’allons pas sortir le paiement de la rançon de nos garanties parce qu’aujourd’hui il y a des cas où il n’y a pas d’autres solutions possibles. Si demain cela n’est plus possible, cela va nécessiter que nous réfléchissions de manière différente", explique-t-il à l'Argus de l'assurance.

Reste que la FAA réclame une clarification de la part des pouvoirs publics. "Depuis de nombreuses années, les assureurs demandent aux pouvoirs publics une clarification de l’assurabilité des rançons. A ce jour, et mis à part certains cas spécifiques visés par la législation, le paiement d’une rançon ne constitue pas une infraction", explique-t-elle à BFM Business.

Surtout, les assureurs contestent le côté automatique du remboursement des rançons: "Ce qu’il faut souligner, c’est qu’avant tout paiement éventuel de rançon, les assureurs conduisent des investigations et diligentent des experts afin de vérifier que l’utilisation de cette rançon n’alimente pas le financement du terrorisme. Une grande majorité des assureurs propose dans ses contrats deux types de garanties: d’une part, un accompagnement, un conseil, une aide à la négociation et des moyens pour récupérer les données hackées ou pour rétablir le système informatique piraté, et d’autre part – en cas d’extrême nécessité –, le remboursement à l’assuré de la rançon payée après franchise et dans la limite d’un plafond. Cela signifie qu’en cas d’attaque, le paiement de la rançon n’intervient qu’en dernier recours".

De son côté, AXA France ajoute: "l’entreprise doit être actrice de sa prévention et de sa protection notamment par la mise en œuvre d’une politique de sécurisation de son système informatique. Dans les cas marginaux où le client serait néanmoins amené à faire jouer cette garantie de remboursement de la rançon, un process sinistre très encadré est mis en place afin d’exclure le risque de financement du terrorisme. L’entreprise devra obligatoirement avoir déposé une plainte. Le remboursement se fera selon la suite donnée à la plainte par les instances juridiques. Bien entendu, si la plainte est transmise à la section anti-terrorisme, il n’y aura aucun remboursement de la rançon de notre part".

Vers une interdiction?

Une interdiction pure et simple de ce type de garantie pourrait néanmoins intervenir. Toujours au Sénat, Johanna Brousse affiche clairement cet objectif.

"Il va falloir durcir le ton en matière de rançon. Nous ne voulons plus payer et nous n’allons plus payer. Il faut que les hackeurs prennent conscience que la France n’est pas la poule aux œufs d’or".

"Si les autorités décident d’interdire le paiement de rançon pour tous types d’actes, il est évident que l’ensemble des acteurs économiques, assureurs et entreprises, s’y conformera", affirme la FFA.

Une telle décision aurait des bénéfices importants à moyen terme puisqu'elle obligerait les entreprises à plus investir dans la sécurité informatique afin de se blinder face aux rançongiciels qui leurs coûtent des millions d'euros (blocage de la production, remise en état..).

D'un autre côté, si les entreprises sont friandes de ces garanties de remboursement, c'est aussi parce que le "circuit légal" ne fonctionne pas. Si 47% des entreprises attaquées ont porté plainte auprès des autorités compétentes, cela n’a abouti que dans 15% des cas. Remonter le fil des attaques est un exercice complexe qui se heurte souvent aux frontières.