Contacter notre équipe$
Cybersécurité | Divers

Bercy confirme l’assurabilité des cyber rançons

  • expert-assurance-tech

    Guillaume

  • 09/09/2022

Rançons en cas de cyberattaques

Les assurances Cyber ont toujours inclus le paiement des rançons

Il est d’abord important de rappeler que les assurances Cyber existent en France depuis plus de 10 ans et qu’elles ont toujours inclus une garantie ransomware permettant notamment de rembourser les rançons. Bien sûr, le paiement de rançon est le dernier recours lorsque toutes les autres mesures correctives et toute l’assistante technique, dont les frais sont aussi pris en charge par l’assurance, ne permettent pas à l’entreprise de redémarrer son activité à la suite d’une attaque par rançongiciel. Le paiement de la rançon, remboursée par l’assureur, est un moyen ultime de sauver une entreprise, ses dirigeants et tous ses emplois, lorsqu’aucune autre mesure ne le permet.

💡 Il est essentiel de bien comprendre les différentes garanties de l’assurance cyber afin de sélectionner la protection la plus pertinente pour votre activité.

 

Depuis 2021, l’ANSSI milite pour l’interdiction de l’assurance des rançons

La polémique sur l’assurabilité des cyber-rançons a enflé en avril 2021 lorsque l’ANSSI, au cours d’une audition au Senat, a accusé les assureurs d’encourager l’augmentation des cyberattaques par ransomware en acceptant de payer les rançons. Devant les vives réactions qu’ont suscité cette invective, le gouvernement a organisé différentes commissions pour discuter de l’assurabilité des rançongiciels. Plusieurs assureurs, principalement ceux d’Europe Continentale, avec en tête AXA, Allianz, Generali et d’autres, ont saisi l’opportunité de cette polémique pour cesser d’assurer les ransomwares qui représentent environ 90% de la sinistralité des risques Cyber et qui est en très forte croissance depuis quelques années. Le prétexte était idéal pour se retirer d’un risque qu’ils commençaient déjà à considérer comme « systémique ». La crise du Covid avec ses nombreuses actions judiciaires vis-à-vis des assureurs a aussi incité ces compagnies à cette très grande prudence.

 

Est-ce aux entreprises privées de combattre le cyberterrorisme ?

Toutes les entreprises sont exposées à la délinquance, que ce soit le vol, le vandalisme, la fraude, … Le cyber terrorisme est une menace plus récente et de plus en plus présente, qui peut toucher au hasard des entreprises de toutes tailles et de tous secteurs d’activités. Chaque dirigeant prend les mesures de protection et de prévention qui lui semblent adaptées, tout comme il le fait contre le vol ou contre l’incendie.

L’ANSSI considère qu’en payant des rançons, les assureurs financent et encouragent le terrorisme, ce qui est vrai. Cependant, le paiement des rançons n’est pas nouveau en assurance. A titre d’exemple, il a toujours existé pour la libération de collaborateurs kidnappés à l’occasion d’une mission professionnelle dans des pays à risque. Pourquoi est-il toléré dans ce cas ? Parce que le sauvetage d’un citoyen français apparait comme un enjeu supérieur, justifiant une entrave au principe qui préconise de ne pas payer les rançons.

La question qui nous préoccupe devrait donc être formulée en ces termes :

« La sauvegarde d’une entreprise, du patrimoine et de la santé de son dirigeant, de l’emploi de tous ses collaborateurs, de sa contribution au PIB français, est-elle un enjeu supérieur qui justifie une entrave au principe consistant à ne pas payer de rançon à des cyber-terroristes ? »

Et nous pourrions la compléter par une autre question :

 « Lutter contre le Cyberterrorisme relève-t-il de la responsabilité des entreprises privées ? »

Chez Onlynnov, nous pensons qu’aucune entreprise ne mérite d’être sacrifiée parce que Martine de la comptabilité a cliqué un peu vite sur le lien d’un faux mail bien imité, ou parce que Bernard de la DSI a oublié de rallumer le pare-feu avant de courir chercher son enfant à la fermeture de la crèche.

Lutter contre le terrorisme relève d’Interpol et du ministère de l’Intérieur beaucoup plus que du paiement de la rançon de Jean-Michel, Géomètre à Montargis qui aura été la énième victime française de cyber-rançonnage.

 

« Le Centre hospitalier Sud francilien ne paye pas de rançon et il s’en sort très bien… »

Je ne m’attarderai pas longtemps sur cet argument que j’entends très fréquemment chez les défenseurs du « zéro rançon ».

Cet hôpital mettra environ 2 ans avant de retrouver une activité normale selon leur propre dire, pendant cette période leurs services subiront une forte désorganisation qui pénalisera autant leur personnel que leurs patients. Enfin, les investissements colossaux nécessaires au redéploiement de leurs systèmes informatiques seront payés par les contribuables. Alors oui un hôpital peut se permettre de ne pas payer de cyber-rançon et doit le faire car l’Etat français n’est pas la vache à lait des hackers, mais leur problématique n’est en rien comparable à celle des entreprises privées.

 

Finalement, quel rôle doivent jouer les assureurs face à la menace Cyber grandissante ?

Le rapport de Bercy ne fait de cadeaux ni aux assureurs, ni aux assurés, et encore moins aux Hackers.

L’assurabilité des rançons cyber est soumise à des conditions strictes et à des actions visant à faire de la France un pays d’excellence en matière de lutte contre le cyberterrorisme, avec l’aide des assureurs que Bercy met fortement à contribution (lisez le rapport si vous ne l’avez pas fait).

 

Parmi les 18 mesures listées dans le rapport, deux concernent directement les entreprises assurées.

En matière de prévention, les assureurs et les courtiers en assurance cyber devront sensibiliser et accompagner les entreprises dans leur protection contre les risques Cyber. Depuis que le Cyber terrorisme a explosé, il y a environ 2 ans, l’équipe d’Onlynnov, en collaboration avec nos partenaires assureurs, effectue un travail important d’audit, de conseil et de prévention des risques cyber. Aucune entreprise ne peut aujourd’hui prétendre à s’assurer contre les risques Cyber si elle ne respecte pas un strict niveau de cyber sécurité. Notre constat est que la plupart des sociétés ne feraient pas les investissements de cyber sécurité nécessaires si leur assureur ne l’exigeait pas (ou pas tous, ou pas bien). Beaucoup de DSI et RSSI nous disent que grâce aux exigences des assureurs ils arrivent à faire valider des investissements qu’ils réclamaient depuis longtemps. De tout temps les assureurs ont contribué à maîtriser et limiter les risques justement parce qu’ils les assurent, Bercy leur demande donc de s’investir dans l’amélioration de la maitrise du risque Cyber au niveau national.

 

Par ailleurs, en cas d’attaque par Ransomware, le remboursement des rançons sera désormais soumis au dépôt d’une plainte obligatoire. Bercy vient donc confirmer les positions du ministère de l’Intérieur qui se dit également favorable à l’indemnisation d’une assurance cyber-rançons à condition qu’elle soit conditionnée à un dépôt de plainte de la victime. Cela devra permettre de dresser un état des lieux précis des attaques, mais aussi d’engager des enquêtes pour lutter contre les auteurs de ces attaques, y compris contre les pays très complaisants vis-à-vis des hackers sur leur territoire.

 

 

A suivre :

À la suite de ces annonces, nous espérons que les grands groupes européens d’assurance et les mutuelles, qui ont cessé d’assurer les ransomware en se retranchant derrière l’avis de l’ANSSI, feront face à leur responsabilité et participeront à la sauvegarde de l’économie française en apportant leurs conseils en prévention et leurs garanties financières pour les ransomwares ?

 

En ce qui concerne ONLYNNOV, nous n’avons jamais cessé d’accompagner les entreprises face à la menace Cyber avec notre cyber assurance sur-mesure, et nous continuerons de le faire avec toute notre énergie.