Avec 1 945 demandes d'assistance auprès de l'assistance en sécurité numérique (2), en hausse de plus de 95 % par rapport à 2020, les rançongiciels restent en 2021 la première menace qui cible les professionnels.

Face à ce constat et suite à la publication du rapport du Trésor (2), le projet de loi d'orientation et de programmation du ministère de l'intérieur (LOPMI) (3) propose un cadre réglementaire afin d'obliger les assureurs à indemniser les entreprises victimes d'attaques par ransomware, lorsque celles-ci paient la rançon demandée.

Cette assurabilité sous conditions provoque de vives réactions dans la communauté des professionnels de la cybersécurité.

Selon une étude de la société Cybereason (4), menée en avril 2021 auprès de 1 263 professionnels de la sécurité (dont 150 Français), payer la rançon serait déconseillé puisque 60 % des entreprises françaises et 80 % des entreprises dans le monde l'ayant fait ont été attaquées une seconde fois et que 53 % des entreprises françaises estiment que leurs données ont tout de même été compromises.

Certains considèrent ainsi que l'assurance cyber est de nature à favoriser les risques de récidives lorsque la victime est estampillée « bon payeur » par la communauté des cybercrimes. De même, les assureurs pourraient inciter leurs clients à payer la rançon lorsque celle-ci s'avère moins élevée que les coûts de remédiation ! De quoi encourager le cybercrime, notamment les risques de blanchiment des capitaux et de financement du terrorisme ! C'est la raison pour laquelle, dans son rapport visant à améliorer la cyber assurance en France, le groupe d'études de l'Assemblée nationale proposait d'interdire aux assureurs de garantir, couvrir ou indemniser la rançon et de sanctionner les entreprises, administrations ou collectivités qui procèdent au paiement des rançons.

Pouvoir poursuivre les auteurs d'infractions

Mais, pour le Haut Comité juridique de la place financière de Paris, créé à l'initiative de l'AMF et de la Banque de France, une telle interdiction n'enrayerait pas la cybercriminalité. Au contraire, elle serait de nature à pénaliser d'une part les assureurs, à raison du déséquilibre concurrentiel qui en résulterait pour eux, d'autre part des entreprises qui subiraient de ce fait un déséquilibre économique important, car elles seraient moins bien protégées que leurs homologues étrangères. Le ministère considère ainsi que « si la posture des services compétents a toujours été de recommander le non-paiement des rançons, la dégradation rapide de la situation appelle à une action publique plus déterminée afin de s'assurer, que dans les cas où une rançon a été payée, les autorités compétentes disposent des informations nécessaires pour poursuivre les auteurs de l'infraction ».

La cyber assurance pour indemniser les dommages en cas de cyber attaques semble donc envisageable mais à certaines conditions :
- La garantie doit être conditionnée par un dépôt de plainte. Le projet de loi a suivi les recommandations du Trésor en conditionnant l'assurance au dépôt d'une plainte dans les 24h suivant l'attaque, et avant tout paiement de cette rançon, et au plus tard quarante-huit heures après la constatation de l'atteinte.
- Les informations doivent être partagées avec les services publics en charge de la lutte contre les cybercriminels.
- Une liste des rançongiciels et des variants identifiés ou fortement soupçonnés d'être lié à une organisation terroriste doit être publiée par une autorité publique, par exemple l'ANSSI .
- Le marché des cryptoactifs doit faire l'objet d'une meilleure régulation puisque les paiements des rançons se font souvent par cette monnaie. À ce titre, le projet de loi facilite la saisie des cryptoactifs par les officiers de police judiciaire .
- Enfin, le Trésor préconise d'affirmer l'inassurabilité des sanctions administratives et de potentiellement exclure la garantie en cas de cyberguerre.

Il s'agit toutefois d'une solution de dernier recours. En effet, les entreprises devront continuer à adopter des bonnes mesures de protection cyber pour consolider la robustesse de leur système informatique et bloquer les tentatives d'intrusion.

1. cybermalveillance.gouv.fr
2. Rapport de la Direction générale du Trésor : « Le développement de l'assurance du risque cyber »
3. Dossier législatif du Sénat : projet de loi d'orientation et de programmation du ministère de l'Intérieur
4. Lire l'étude de la société Cybereason