La députée Valéria Faure-Muntian, présidente du groupe d’études Assurances de l’Assemblée Nationale, a présenté, le 13 octobre dernier, un rapport sur la cyber assurance. Dedans sont annoncées 20 propositions afin de permettre de « clarifier et définir les termes propres au champ du risque cyber, avant de délimiter une législation efficace susceptible de le réguler» et de «garantir la résilience et la défense des entreprises et collectivités françaises».
Une des propositions phares qui en ressort est celle qui veut inscrire dans la loi l’interdiction pour les assureurs « de garantir, couvrir ou d’indemniser la rançon » en cas d’attaque par rançongiciel ou ransomware .
Alors, que prévoit ce rapport qui a pour objectif de dynamiser le marché de la cyber sécurité en France?
Pourquoi le cyber risque est-il si menaçant ?
En 2020, le risque cyber était la première menace pour l’économie française d’après le baromètre annuel des risques d’Allianz. Près de la moitié des entreprises françaises ont subi une cyberattaque selon le rapport Hiscox 2021 sur la gestion des cyber-risques, contre un tiers (34 %) l’année précédente.
Nous avons vu une forte accélération des risques cyber et des cyberattaques notamment depuis la crise sanitaire qui a fortement accrue la numérisation. Comme exemples, les différentes cyber attaques qui ont visé les hôpitaux, à des moments très difficiles pour eux, ce qui montre que personne n’est à l’abri.
Une des attaques les plus répandues en cybercriminalité est le « rançongiciel ». Ce dernier peut être définit comme un logiciel malveillant qui chiffre les données d’une entreprise attaquée, les rendant ainsi illisibles. Les pirates exigent ensuite de leur cible le versement d’une rançon en échange de la clé pour récupérer les données.
Le montant, pour le premier semestre, lié aux attaques au rançongiciel dépasse de 42% celui de l’entière année 2020, selon le gouvernement américain. Celui-ci met en lumière l’explosion de ce type d’attaques depuis ces derniers mois.
Interdire le paiement des rançons : les avis divergent
La proposition qui a fait couler le plus d’encre depuis la sortie du rapport de la députée Valéria Faure-Muntianqui, est celle de l’inscription dans la loi de l’interdiction pour les assureurs « de garantir, couvrir ou d’indemniser la rançon » en cas d’attaque par rançongiciel ou « ransomware ». Elle est justifiée par le fait que le paiement des rançons alimenterait la cybercriminalité, l’encouragement à la récidive. De plus, l’incertitude est présente quant à la récupération des données malgré le paiement effectué.
Le paiement des rançons par les assureurs est un sujet qui les divise. Les acteurs, qui suivent des stratégies différentes, s’accordent sur une nécessaire évolution réglementaire. « Il est primordial que les pouvoirs publics concrétisent leur position sur ce sujet afin de permettre à tous les acteurs de marché de jouer pleinement leur rôle », explique une porte-parole d’Axa. En effet, les différents assureurs n’ont pas la même vision ni les mêmes réactions face au paiement de rançon. Generali, par exemple, n’a jamais payé de rançon. La branche française d’Hiscox, assureur spécialisé anglo-saxon, le fait. Axa a suspendu sa garantie optionnelle cyber rançonnage en début de mois.
Dans tous les cas, tous s’accordent à dire qu’il faudrait un réel éclaircissement juridique et réglementaire.
Les avis divergent sur la manière d’agir face à une demande de rançon pour récupérer des donnés. Prenons l’exemple de Marc-Henri Boydron, fondateur de Cyber Cover. Il souhaite un encadrement du paiement des rançons plutôt qu’une interdiction, qui risque de condamner une entreprise. Il explique « Une société sans moyen de récupérer ses données et qui a de ce fait un système d’information à l’arrêt, ça peut dans certaines configurations la mort de l’entreprise ».
Quant à Craig Dunn, responsable de la Cybersécurité chez Hiscox Assurance Europe : « Ce risque peut être limité par la mise en place d’un haut niveau de sécurité, tel que nous l’exigeons chez Hiscox de nos clients lorsqu’ils souscrivent à une garantie cyber (au total, moins de 5 % de nos indemnisations cyber, en Europe, sont liés au remboursement du paiement de rançons), mais il n’est pas nul. ».
Enfin, Guillaume Aksil, avocat spécialiste en droit des assurances, rappelle qu’un autre risque majeur demeure en cas d’interdiction de paiement des rançons par les assureurs : celui que l’entreprise attaquée s’en charge elle-même.
Découvrez ici le Rapport sur la cyber-assurance, présenté par Valéria Faure-Muntian.