Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 216

FOCUS
Assurances
Interdire le remboursement
des rançons
Les parlementaires et Bercy s'interrogent sur un encadrement voire une interdiction
de l'assurabilité ou le paiement d'une rançon suite à une cyberattaque. Une réponse est
attendue d'ici la fin de l'année.
L
Johanna
ors d'une audition au Sénat
sur la cybersécurité des petites
et moyennes entreprises qui
s'est tenue le 14 avril dernier,
Brousse,
vice-procureur
chargée de la section de la cyber criminalité
du parquet de Paris a jeté un pavé
dans la mare. Selon elle, « la France
est l'un des pays les plus attaqués en
matière de rançongiciel parce que nous
payons trop facilement les rançons ».
Elle ajoute qu'il faut « faire comprendre
à chacun que si la rançon est payée,
cela va pénaliser tous les autres, parce
que les pirates vont s'en prendre plus
facilement à notre tissu économique ».
Deux semaines après cette audition,
Axa annonçait qu'il suspendait le
remboursement des rançons. La position
exprimée par Johanna Brousse
n'est pas isolée ; elle fait l'objet d'une
réflexion tant du côté parlementaire
que du gouvernement en vue d'une
éventuelle interdiction du remboursement
d'une rançon dans le cadre d'une
cyberattaque.
Est-ce que la France est particulièrement
encline à payer des rançons ? C'est
ce qu'affirme l'assureur Hiscox suite à
une étude. Néanmoins, un tel constat
reste très difficile à vérifier en l'absence
de chiffres fiables. Selon les études,
les organisations seraient entre 20%
et 60% à payer une rançon. Une chose
est cependant certaine : le phénomène
des ransomewares augmente de
manière exponentielle. Une étude de
l'Anssi montre que 2020 a connu une
augmentation de 225 % de signalements
d'attaques par rançongiciel par
rapport à 2019. Et 2021 suit cette pente
ascensionnelle.
Suite aux auditions au Sénat, Axa a
annoncé début mai la suspension,
pour son contrat d'assurance Cyber
Secure à destination des entreprises
en France uniquement, de l'option
216
introduite en 2020 de remboursement
d'une rançon dans le cadre d'une
attaque par ransomware. L'assureur
déclare que cette mesure sera maintenue
le temps que les conséquences
soient tirées de ces analyses et que le
cadre d'intervention de l'assurance soit
clarifié. Axa attend que les pouvoirs
publics prennent position sur ce sujet
afin de permettre à tous les acteurs du
marché d'harmoniser leurs pratiques.
Les assureurs, quant à eux, restent
très partagés. Ainsi, Hiscox assume
et reste favorable au paiement de la
rançon. De façon très pragmatique,
l'assureur affirme que l'indemnisation
systématique des coûts de reconstitution
des données impliquerait une
explosion du coût de la sinistralité ce
qui les obligerait à réajuster à la hausse
les primes d'assurance. De son côté,
Generali
reste opposé au remboursement
du paiement de la rançon.
Il a créé un produit d'assurance en
2017 mais n'a jamais payé de rançon
et ne veut pas alimenter un système
délinquant. D'aucuns pensent que ce
système est contre-productif puisqu'il
renforce l'activité des hackers et induit
une augmentation des demandes
de
rançon,
activité
complètement
asymétrique pour les entreprises
menacées et très peu risquée pour les
cyberdélinquants.
Si le paiement d'une rançon n'est pas
interdit en droit mais reste fortement
déconseillé par les pouvoirs publics, une
évolution réglementaire de son assurabilité
est souhaitée par les assureurs de
tous bords. À l'Assemblée nationale, la
députée Valeria Faure-Muntian, présidente
du groupe d'études « assurances
» de l'Assemblée nationale a lancé
un cycle d'auditions sur l'assurance
cyber et devrait rendre un rapport en
automne. Dans une interview donnée
à l'Argus de l'assurance, elle explique
EXPERTISES JUIN 2021
que « aujourd'hui, la pratique du
paiement des rançons cyber est dans
une zone grise. Il faut impérativement
clarifier cela de manière légale. On ne
peut pas taper sur les assureurs alors
que le paiement de l'assurance n'est
pas interdit. Il est difficile de faire un
procès en moralité alors que juridiquement
le nécessaire n'a pas été fait. La
pratique existe. Il faut prendre cela en
considération et légiférer. Pour ma part
je suis totalement opposée à ce que le
paiement des rançons perdure ». La
problématique liée au versement de
la rançon a par ailleurs été examinée
par la Commission supérieure du
Numérique et des Postes (CSNP), un
groupe parlementaire ayant pour
mission de contrôler les activités
postales et de communications électroniques,
qui a rendu le 4 avril 2021
un avis au gouvernement sur la sécurité
numérique. Elle recommande un
dispositif de régulation du paiement
des rançons soit pour l'interdire, soit
pour rendre obligatoire, sous le couvert
d'une protection du type « secret des
affaires », la déclaration aux autorités
françaises d'une demande de rançon
et de son traitement. Du côté de l'exécutif,
la direction générale du Trésor
a missionné le Haut comité juridique
de la place financière de Paris (HCJP)
pour étudier la question et aboutir à des
recommandations.
Si le paiement d'une rançon cyber
devait être interdite, cela aurait
comme
conséquences
de
pousser
les entreprises et les organisations à
investir dans la sécurité et la formation
du personnel. 65% des attaques
par rançongiciels proviennent de
phishing. En attendant, rien n'empêchera
des entreprises bloquées de
payer une rançon... à l'étranger.
Sylvie ROZENFELD

Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia