Actus#cybersecurité
Temps de lecture : 03'06''
18 octobre 2021
Crédit : Liam Tucker

Le paiement des rançons des cyberattaques bientôt interdit ?

Payer les rançons des cyberattaques créerait un appel d'air et alimenterait la criminalité en ligne : un rapport parlementaire propose d'interdire les garanties rançon dans les contrats d'assurance cyber.

La députée Valéria Faure-Muntian, présidente du groupe d’études Assurances de l’Assemblée Nationale, a présenté mercredi 13 octobre un rapport attendu par le secteur. Il propose d’inscrire dans la loi l’interdiction pour les assureurs « de garantir, couvrir ou d’indemniser la rançon » en cas d’attaque par rançongiciel ou « ransomware » . Le rançongiciel est un logiciel malveillant qui chiffre les données d’une entreprise attaquée, les rendant ainsi illisibles. Les pirates exigent ensuite de leur cible le versement d’une rançon en échange de la clef pour récupérer les données.

Valéria Faure-Muntian argue dans le rapport que « le paiement des rançons alimente la cyber-criminalité » et que « rien ne garantit que la rançon payée soit un gage de retour à la situation initiale » pour l’entreprise attaquée. « Les assureurs demandent maintenant depuis plusieurs années une clarification du sujet puisqu’aujourd’hui, garantir le paiement des rançons n’est pas illégal. Ce n’est pas interdit par la loi » , explique à l’AFP Franck Le Vallois, directeur général de la Fédération française de l’assurance (FFA). « Pour autant, nous avons vu ces derniers temps que les assureurs pouvaient être stigmatisés par certains représentants des pouvoirs publics et rangés au niveau des cybercriminels. (…) Comment reprocher aux assureurs de respecter leur contrat et d’accompagner leurs clients dans les moments délicats ? » , interroge-t-il.

AXA France a suspendu la commercialisation de l’option « cyber rançonnage » depuis mai 2021, le temps que le cadre d’intervention de l’assurance soit clarifié. « Aujourd’hui AXA France souhaite une position rapide et claire de la part des pouvoirs publics sur l’assurabilité des rançons afin de permettre à tous les acteurs du marché d’harmoniser leurs pratiques » , indique l’assureur à l’AFP. Point d’accord avec les professionnels du secteur : le rapport parlementaire met l’accent sur la prévention et l’éducation au risque cyber.

Privilégier l’encadrement à l’interdiction

En 2020 le risque cyber était la première menace pour l’économie française d’après le baromètre annuel des risques d’Allianz. Près de la moitié des entreprises françaises ont subi une cyber-attaque selon le rapport Hiscox 2021 sur la gestion des cyber-risques, contre un tiers (34%) l’année précédente. Le marché du risque cyber était estimé en 2020 à 135 millions d’euros de chiffre d’affaires, selon la FFA. « C’est tout petit, c’est un marché qui se développe » , commente Franck Le Vallois. « Les cybercriminels n’ont pas attendu que les assureurs assurent ! »

Interdiction de garantie rançon ou non, il insiste sur l’importance de « prendre conscience son exposition au risque cyber » . « Les contrats cyber et notamment, ceux qui incluent ces garanties de paiement de rançon, ont plusieurs effets vertueux. (…) Ils sensibilisent les entreprises au risque cyber, ils incitent les entreprises à se protéger. » Marc-Henri Boydron, fondateur de Cyber Cover, société spécialiste de l’assurance cyber et fraude, rappelle que le paiement d’une rançon n’intervient qu’en dernier recours. « Nous n’avons jamais eu à devoir demander à nos compagnies d’assurance partenaires de devoir payer [une] rançon » , assure-t-il.

Marc-Henri Boydron souhaite un encadrement du paiement des rançons plutôt que de l’interdire au risque de condamner une entreprise. « Une société sans moyen de récupérer ses données et qui a de ce fait un système d’information à l’arrêt, ça peut [vouloir dire] dans certaines configurations la mort de l’entreprise » , explique-t-il à l’AFP. Pour Guillaume Aksil, avocat spécialiste en droit des assurances, un autre risque majeur demeure en cas d’interdiction de paiement des rançons par les assureurs: celui que l’entreprise attaquée s’en charge elle même.  « Et si l’entreprise paye discrètement, elle aura moins tendance à chercher des avocats et des experts techniques. Elle va se retrouver esseulée alors qu’elle doit être accompagnée et communiquer. (…) Retrouver ses données, c’est fondamental. »

Maddyness avec AFP