France : le gouvernement va autoriser les assureurs à indemniser les victimes de ransomware

Une orientation qui est susceptible d'encourager la croissance des demandes de rançons

Les assureurs pourront indemniser les victimes de ransomware qui se voient demander une rançon pour avoir à nouveau accès à leurs fichiers, à condition que les entreprises portent plainte. Cette orientation est-elle la meilleure ? Le schéma aux USA montre que les compagnies d'assurance participent à l'augmentation des attaques de ransomwares. Même lorsque les organismes publics et les entreprises touchés par les rançongiciels pouvaient récupérer eux-mêmes leurs fichiers, les assureurs préfèrent payer la rançon. Pourquoi ? Les attaques sont bonnes pour les affaires.

Le ransomware est un logiciel malveillant qui bloque l’accès à vos outils informatiques et à vos données en les chiffrant. Une fois chiffrées, ces dernières peuvent être bloquées, détruites ou exploitées sur des marchés parallèles à prix d’or. Pour récupérer ces données, le cybercriminel demande le paiement d’une rançon en échange d’une clé de déchiffrement.

Si l'indemnisation par les assureurs des rançons n'était pas illégale, un rapport parlementaire avait proposé il y a un an de l'interdire. En attendant d'y voir plus clair, Axa France avait suspendu en mai 2021 la commercialisation de l'option « cyber rançonnage ». Le groupe avait été suivi par Generali France début 2022.

Pourtant, les risques d'attaques par ransomware ont augmenté.

Selon l'édition 2022 du rapport Data Breach Investigations de Verizon, le nombre d’attaques par ransomware a fortement augmenté par rapport à l’année dernière, et il est aussi plus important qu’au cours des 5 dernières années combinées. Le rapport met en lumière une année singulière en matière de cybersécurité.

Hans Vestberg, PDG et président de Verizon, déclare : « Au cours de ces dernières années, la pandémie a mis en évidence un certain nombre de problèmes importants que les entreprises ont été contraintes de résoudre en temps réel. Mais nulle part ailleurs la nécessité de s'adapter n'est plus importante que dans le monde de la cybersécurité. Alors que nous continuons de nous diriger rapidement vers un monde de plus en plus numérisé, des solutions technologiques efficaces, des systèmes de sécurité fiables et une importante concentration sur l'éducation permettront de jouer un rôle important dans le but de garantir la sécurité des entreprises et la protection des clients. »

Le paysage dressé du côté de l'ANSSI était plus sombre puisqu'il a indiqué que les attaques par ransomware ont augmenté de 255 % depuis 2020 d’après l’ANSSI. Parmi les secteurs les plus touchés, la finance et l’assurance arrivent en première place, suivies par l’industrie, l’énergie puis le retail.

Menace importante en 2021, le ransomware constitue 60 % des attaques observées par le CERT-Wavestone. La France est le 4^e pays le plus touché au monde après le Canada, le Royaume-Uni et les Etats-Unis. Dans 56 % des cas, les victimes n'avaient pas anticipé être la cible potentielle d'une cyberattaque et dans 90 % des cas, des données ont été perdues irrémédiablement.


Comme pour illustrer la situation, fin août, le Centre hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes a été victime d'une attaque informatique. Une demande de rançon de 10 millions de dollars a été exigée par le ou les hackeurs.

Pourtant, selon un rapport de la direction générale du Trésor, le risque cyber est encore relativement peu assuré, et ne représente que près de 3 % des cotisations en assurance dommages des professionnels. Ce constat est le fruit de deux facteurs selon le rapport : une sous-estimation, ou en tout cas une difficulté à appréhender le risque cyber pour les entreprises (en particulier les plus petites), et des difficultés à estimer ses impacts pour les acteurs de l’assurance, en particulier lors d’incidents de grande ampleur.

Pour mémoire, à la demande de Bruno Le Maire, ministre de l'Économie, des Finances et de la Souveraineté industrielle et numérique, la direction générale du Trésor a mis en place, en juin 2021, un groupe de travail portant sur le développement d’une offre assurantielle de couverture des risques cyber, associant, outre les services de l’État, des deux représentants des entreprises, des organismes d’assurance et de réassurance et des experts du monde académique. C'est pour faire suite à ces travaux que le rapport sur le développement de l’assurance du risque cyber a vu le jour.

Un plan d'action décliné en quatre axes a alors été décliné.

Paiement des rançons : dépôt de plainte obligatoire

En premier point, le rapport insiste sur la clarification du cadre juridique de l’assurance du risque cyber. Il est ainsi recommandé de diffuser de bonnes pratiques de rédaction pour améliorer la prise en compte de ce risque. À moyen terme, il est proposé de renforcer l’information des assurés sur l’étendue de leurs garanties. Enfin, indique Bercy, « l’obligation d’un dépôt de plainte de la victime pour permettre l’assurabilité d’une cyberrançon, ainsi qu’un principe général d’interdire d'assurer les sanctions administratives sont également proposés pour lever des ambiguïtés dommageables aux assurés comme aux assureurs ». La mesure dédiée aux cyberrançons avec obligation de dépôt de plainte pour être indemnisé est partie intégrante du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) présenté ce mercredi 7 septembre en Conseil des ministres.


Mieux mesurer le risque cyber

Le rapport recommande d’améliorer l’évaluation des risques des assureurs afin de permettre aux acteurs de mieux prendre en compte l’exposition au risque opérationnel cyber. La création d’une catégorie de « reporting au superviseur dédiée au risque cyber » puis, à moyen terme, d’une « branche cyber dédiée » est également recommandée. Le rapport préconise par ailleurs de faciliter la transmission d’informations entre assureurs au sein d’une plateforme de partage de données sur les incidents cyber issue d’un partenariat public/privé, afin de disposer de davantage de données sur ce risque.


Améliorer le partage de risque entre assurés, assureurs et réassureurs

Outre la promotion de solutions innovantes, comme « l’assurance paramétrique » qui permet le versement automatique d’une prestation établie en fonction d’un indice mesurable automatiquement, le développement de solutions d’autoassurance telles que les captives de réassurance pourrait permettre de créer un marché de l’assurance du risque cyber. « La mise en place d’une provision dédiée apparait, à cet égard, être une solution pertinente pour permettre aux entreprises de mieux gérer leur risque cyber. »

Le rapport préconise enfin d’accroître les efforts de sensibilisation des entreprises au risque cyber. « La définition de référentiels de sécurité partagés et un travail sur l’harmonisation des questionnaires de sécurité utilisés par les assureurs constituent également un levier pour renforcer la résilience des...