Cyberattaques : vers l’interdiction des paiements de rançon pour les assureurs ?

Selon le directeur général d’Anssi et la vice-procureure qui se charge de la section cybercriminalité au parquet de Paris, les appuis apportés par les assureurs encouragent l’augmentation des cyberattaques. En effet, dans la plupart des cas, les victimes des attaques informatiques par ransomwares procèdent au paiement des rançons. Au cours d’un procès au sénat, ils appellent à cesser cette pratique.

Paiement de rançons : une pratique qui encourage les hackers

Durant l’année 2020, environ 14 % des entreprises françaises ont fait l’objet d’une attaque par ransomware, c’est-à-dire une cyberattaque suivie d’une demande de rançon. Deux sur trois des victimes se sont acquittés de la somme sollicitée par les hackers. Selon une conclusion des études sur la cybersécurité sur les PME et les TPE qui ont été menées par un assureur, cela fait de la France l’un des pays au monde qui paie le plus les demandes de rançons. Selon Johanna Brousse du parquet général de Paris, ce paiement remboursé par les assureurs est une des raisons pour laquelle ce pays est de plus en plus attaqué par les rançongiciels, parce que les pirates informatiques peuvent se dire que les Français sont de bons payeurs.

De son côté, Guillaume Poupard, le directeur général d’Anssi va plus loin. Selon lui, la garantie de paiement de rançons dans les contrats de certains assureurs s’avère un jeu trouble. Concrètement, les établissements d’assurance préfèrent payer des millions de rançons que des dizaines de millions qui se rapportent à l’indemnisation systématique des coûts de reconstitution des données. Toujours selon ce responsable de l’Anssi, un travail de fond doit être mené afin de casser ce cercle vicieux qui tourne autour du paiement des rançons.

Quels sont les avis des assureurs ?

Pour se défendre face à ces accusations, la FFA ou fédération française de l’assurance affirme que le paiement des rançons ne constitue pas une infraction sauf sur certains cas spécifiques qui sont visés par la législation. En revanche, les décideurs dans les compagnies d’assurance reconnaissent bien que le marché français s’avère très partant pour le paiement de la rançon. Pour certains assureurs, un paiement de rançon fait partie d’une promesse d’assistance en dernier ressort proposée à leurs clients. En revanche, d’autres assureurs refusent systématiquement de payer des rançons pour ne pas alimenter un système délinquant.

Ceux qui restituent les rançons de leurs clients reconnaissent privilégier le paiement de la somme sollicitée par les hackers à l’indemnisation de la reconstitution des données en raison d’une question d’équilibre technique de la garantie cyber. Pour faire plus simple, le coût de cette dernière s’avère plus élevé. Les assureurs devront donc réajuster à la hausse les primes d’assurance.

Interdire le paiement des rançons

Les autorités souhaitent interdire catégoriquement cette pratique pour faire comprendre aux hackers que la France n’est pas « la poule aux œufs d’or ». Un haut comité juridique de la place financière à Paris est missionné par la direction générale du Trésor pour travailler sur le sujet. La FFA devra par la suite se conformer à ce règlement. Selon un assureur, cette interdiction sera aussi une manœuvre qui poussera les entreprises à investir sur une vraie politique de cybersécurité.