La fin de la couverture du risque de ransomwares par les assureurs ?

Par Théo Zuili de LE MONDE DE LA SECURITÉ

Depuis deux semaines, les assureurs proposant une couverture des risques de ransomwares sont pointés du doigts par l’ANSSI et le Parquet de Paris.

Cette garantie de payer les rançons exigées par les cyberpirates pour les entreprises favoriserait les attaques.Selon le Cesin, 19% des entreprises en France ont déclaré avoir subi au moins une attaque par ransomware au cours de l’année dernière. Selon un rapport de l’assureur Hiscox, parmi ces entreprises, près de 2/3 ont accepté de payer la rançon pour reprendre leur activité.

Les autorités reprochent une trop grande tendance

à accepter de payer les rançons

Il y a deux semaines, lors d’une audition au Sénat, l’ANSSI (l’Agence nationale de sécurité des systèmes informatiques) et le parquet de Paris ont reproché à ceux qui proposent des assurances cybersécurité de trop accepter de payer les rançons. Selon eux, si la France est autant victime de cyberattaques de type ransomware, c’est « parce que nous payons trop facilement les rançons […]. Payer les rançons pénalise tout le monde. Cela encourage les hackeurs à s’en prendre plus facilement à notre tissu économique parce qu’ils se disent que de toute façon les Français payent ».

En réaction, ce lundi, AXA France a suspendu sa couverture du remboursement des ransomwares. Cependant, rien n’interdit encore de continuer de proposer cette garantie.

Les assureurs sont-ils vraiment coupables ?

Selon Arnaud Gressel, courtier spécialisé en risques Sûreté et Cyber chez RESCO Courtage et intervenant Assurance Cyber & Assurance Mobilité Internationale à l’IHEMI, ce ne sont pas les assureurs qu’il faut blâmer.

 « Quand vous discutez avec les assureurs sur la proportion de dossiers « sinistre » qui ont donné lieu à des remboursements de rançons, on est sur un taux très faible. Les sociétés qui paient des rançons aujourd’hui sont essentiellement des sociétés non assurées. Quand une société est assurée et qu’elle fait face à une attaque, un dispositif de gestion de crise se met en place en deux heures. »

Selon Arnaud Gressel, expert en cyber assurance :

il faut pouvoir continuer de payer les rançons si c’est en ultime recours.

« L’assureur met tout en œuvre pour éviter un paiement de rançon. L’ANSSI et les autorités ont parfaitement raison : il faut éviter absolument de payer les rançons. Mais pour moi, c’est l’ultime recours. S’il y a un risque vital pour l’entreprise, cet ultime recours doit être envisagé. Payer une rançon n’est même pas une solution de facilité. Au-delà du prix de la rançon, il faut déchiffrer tous les postes, les serveurs et s’assurer que l’activité revienne à la normale. Tout cela génère un gros coût. »

« Le problème est davantage dans la coordination de la lutte contre ce phénomène de ransomware. On parle de millions détournés puis blanchis. Il faut mettre encore davantage l’effort là-dessus pour régler le problème. Ce ne sont certainement pas les assureurs qui sont la cause du problème. Il faut mettre l’accent sur la prévention et la gestion de crise. Il ne faut pas condamner le remboursement des rançons quand c’est fait en ultime recours. Cet ultime recours peut être mentionné comme tel dans un contrat d’assurance. Mais si demain, cette alternative est interdite, des entreprises pourront être amenées à fermer définitivement après une attaque. »

En somme, selon ce courtier spécialisé en cyber assurances, les assureurs ne sont pas là pour payer les rançons. Mais pour accompagner les entreprises et améliorer leur résilience, pour prévenir ainsi les risques d’être victime d’attaques de ce type. Pour autant, il est nécessaire que le paiement de rançon demeure une ultime alternative.

Merci à LE MONDE DE LA SECURITE pour avoir autorisé la reproduction.

https://www.lemondedelasecurite.fr/publication/2948-c-est-quoi-l-assurance-cybersecurite.html