Début mai 2021, AXA a annoncé ne plus vouloir payer les rançons lors d’attaques par ransomwares. Une nouvelle qui a sonné comme un coup de tonnerre dans le monde de l’assurance. En effet, les acteurs de ce marché ont du mal à se positionner sur cette question. Il faut dire qu’elle est particulièrement complexe notamment parce que l’indemnisation pourrait inciter les hackers à récidiver.

Pourquoi l’indemnisation des victimes est-elle remise en question ?

C’est en tout cas la position de l’Anssi (l’Agence nationale de la sécurité des systèmes d’information), qui, au cours d’une récente audition au Sénat, a déclaré que l’augmentation des cyberattaques par ransomwares était probablement liée à la politique de remboursement des assureurs. Comme les assurés savent qu’ils seront remboursés, ils décident le plus souvent de payer la rançon réclamée par les hackers. Un cercle vicieux dangereux selon l’agence de sécurité française.

Rien qu’en 2020, 14% des entreprises françaises ont fait l’objet d’un ransomware (une attaque par rançongiciel). Dans 60% des cas, les victimes ont payé la rançon. C’est beaucoup plus que la moyenne mondiale et c’est tout le problème. Aux États-Unis, le FBI recommande aux victimes de ransomwares de ne surtout pas payer les rançons. Généralement les hackers dérobent des documents secrets ou des données personnelles et menacent de les publier si la rançon n’est pas payée. Dans la plupart des cas, même si la rançon est payée, les données sont tout de même divulguées…

Dans un récent rapport, l’Anssi faisait état d’une augmentation de 255% des ransomwares rien que sur l’année 2020. Dans l’étude publiée par l’agence, on constate que la plupart des rançongiciels sont administrés par le biais d’un e-mail d’hameçonnage. Plusieurs tendances se dessinent au fur et à mesure que les hackers se professionnalisent : le « Big Game Hunting », le « ransomware-as-a-service » (RaaS) et la « double extorsion ». De plus en plus de rançongiciels sont disponibles sur les marchés des cybercriminels et ce n’est pas une bonne nouvelle pour les assureurs.

Les professionnels de l’assurance sont partagés

Comme la France est le deuxième pays le plus touché par les ransomwares, AXA a décidé de stopper les indemnisations sur notre territoire. L’assureur explique qu’en 2020 : “les ransomwares ont été invoqués comme motif de remboursement dans 41% des demandes d’indemnisations”. La France est depuis plusieurs années considérée comme trop « bonne payeuse » par les hackers et cela doit changer pour une majorité d’assureurs. Pourtant, les entreprises ont besoin d’une assurance cybercriminalité et certains assureurs spécialisés continuent de proposer des garanties.

Plusieurs acteurs refusent de sortir le paiement des rançons de leurs garanties parce qu’aujourd’hui il y a des cas où il n’y a pas d’autres solutions possibles. Le paiement de la rançon est parfois le seul moyen pour l’entreprise de s’en sortir et de reprendre le cours de son activité. Le débat est houleux et de nombreux acteurs de l’assurance réclament une position ferme de la part du gouvernement sur cette question. Cela fait maintenant plusieurs années que les assureurs demandent aux pouvoirs publics une clarification de l’assurabilité des rançons. À ce jour, le paiement d’une rançon ne constitue pas une infraction, mais cela pourrait être le cas dans un avenir proche.

Pour tenter de sortir du viseur des hackers il faut passer par une acculturation au risque et mettre en place une véritable politique de prévention. L’idée est d’éviter par tous les moyens le paiement de la rançon par les victimes d’une cyberattaque. Il faut pour cela mettre en place un triptyque de sécurité avec un contrôle des accès, une sécurisation de la sauvegarde et la surveillance du système informatique.