Payer les rançons des cyber attaques créerait un appel d’air et alimenterait la criminalité en ligne: un rapport parlementaire propose d’interdire les garanties rançon dans les contrats d’assurance cyber. La députée Valéria Faure-Muntian, présidente du groupe d’études Assurances de l’Assemblée Nationale, a présenté mercredi 13 octobre un rapport attendu par le secteur. Il propose d’inscrire dans la loi l’interdiction pour les assureurs «de garantir, couvrir ou d’indemniser la rançon» en cas d’attaque par rançongiciel ou «ransomware». Le rançongiciel est un logiciel malveillant qui chiffre les données d’une entreprise attaquée, les rendant ainsi illisibles. Les pirates exigent ensuite de leur cible le versement d’une rançon en échange de la clef pour récupérer les données. Mme Faure-Muntian argue dans le rapport que «le paiement des rançons alimente la cyber-criminalité» et que «rien ne garantit que la rançon payée soit un gage de retour à la situation initiale» pour l’entreprise attaquée. «Les assureurs demandent maintenant depuis plusieurs années une clarification du sujet puisqu’aujourd’hui, garantir le paiement des rançons n’est pas illégal. Ce n’est pas interdit par la loi», explique Franck Le Vallois, DG de la Fédération française de l’assurance (FFA). «Pour autant, nous avons vu ces derniers temps que les assureurs pouvaient être stigmatisés par certains représentants des pouvoirs publics et rangés au niveau des cybercriminels. (…) Comment reprocher aux assureurs de respecter leur contrat et d’accompagner leurs clients dans les moments délicats?», interroge-t-il. AXA France a suspendu la commercialisation de l’option «cyber rançonnage» depuis mai 2021, le temps que le cadre d’intervention de l’assurance soit clarifié. Point d’accord avec les professionnels du secteur: le rapport parlementaire met l’accent sur la prévention et l’éducation au risque cyber. En 2020 le risque cyber était la 1ère menace pour l’économie française d’après le baromètre annuel des risques d’Allianz. Près de la moitié des entreprises françaises ont subi une cyber-attaque selon le rapport Hiscox 2021 sur la gestion des cyber-risques, contre un tiers (34%) l’année précédente. Le marché du risque cyber était estimé en 2020 à 135 millions d’euros de c.a., selon la FFA. «C’est tout petit, c’est un marché qui se développe», commente Franck Le Vallois. Interdiction de garantie rançon ou non, il insiste sur l’importance de «prendre conscience son exposition au risque cyber». «Les contrats cyber et notamment, ceux qui incluent ces garanties de paiement de rançon, ont plusieurs effets vertueux. (…) Ils sensibilisent les entreprises au risque cyber, ils incitent les entreprises à se protéger». Marc-Henri Boydron, fondateur de Cyber Cover, société spécialiste de l’assurance cyber et fraude, rappelle que le paiement d’une rançon n’intervient qu’en dernier recours. «Nous n’avons jamais eu à devoir demander à nos compagnies d’assurance partenaires de devoir payer [une] rançon», assure-t-il. M. Boydron souhaite un encadrement du paiement des rançons plutôt que de l’interdire au risque de condamner une entreprise. «Une société sans moyen de récupérer ses données et qui a de ce fait un système d’information à l’arrêt, ça peut [vouloir dire] dans certaines configurations la mort de l’entreprise», explique-t-il. Pour Guillaume Aksil, avocat spécialiste en droit des assurances, un autre risque majeur demeure en cas d’interdiction de paiement des rançons par les assureurs: celui que l’entreprise attaquée s’en charge elle même. «Et si [l’entreprise] paye discrètement, elle aura moins tendance à chercher des avocats et des experts techniques. Elle va se retrouver esseulée alors qu’elle doit être accompagnée et communiquer. (…) Retrouver ses données, c’est fondamental».
