Pourquoi le business model des garanties "cyber rançon" est actuellement remis en cause ?
Les garanties qui couvrent le risque des ransomwares vont-elles bientôt disparaître ? Peut-être, à en croire la récente suspension de la garantie "cyber rançonnage" d'Axa France. En effet, pour les assureurs, le versement de la rançon coûte parfois moins cher que de payer l'indemnité au titre de la police d'assurance. Or ce système est contre-productif puisqu'il renforce l'activité des hackers.
Axa France a suspendu sa garantie "cyber rançonnage", rapporte le média spécialisé News Assurance Pro dans un article publié le 3 mai.
Sollicité par L'Usine Digitale, l'assureur a confirmé cette suspension. Il a néanmoins précisé que l'offre "CyberSecure" était toujours commercialisée. Celle-ci intègre un service d'identification des problèmes, la mise en place d'actions correctives, l'analyse de l'incident et la mise à disposition de recommandations.
Le cadre doit être clarifié
Cette suspension s'explique en partie sur les critiques formulées par le Parquet de Paris et l'Agence nationale de la sécurité des systèmes d'information (Anssi) lors d'une audition au Sénat le 15 avril 2021, nous explique un porte-parole d'Axa. "Dans ce contexte, Axa France (…) a jugé opportun d'en suspendre la commercialisation le temps que les conséquences soient tirées de cette analyse et le cadre d'intervention soit clarifié", a-t-il détaillé.
Johanna Brousse, vice-procureur et chef de la section J3 dédiée à la cybercriminalité du parquet de Paris, expliquait lors de cette table de ronde consacrée à la cybersécurité des ETI-PME-TPE que le paiement des rançons était un enjeu central. "Il va falloir durcir le ton (…) Nous payons trop facilement les rançons", déclarait-elle. Un constat partagé par l'assureur Hiscox qui, dans une étude, affirme que la France est l'un des pays qui paye le plus au monde ces demandes de rançons.
"Le mot d'ordre aujourd'hui à faire passer est qu'en matière de ransomware, nous ne voulons plus payer et nous n'allons plus payer. C'est indispensable pour tarir la source et pour que les hackers aient conscience que la France ce n'est pas la poule aux œufs d'or", ajoutait la magistrate.
Les assureurs jouent un double-jeu
De son côté, Guillaume Poupard, à la tête de l'Anssi, disait s'inquiéter du "jeu trouble de certains assureurs". "Je rejoins ce constat qui économiquement est très rationnel puisqu'un assureur qui a choix entre payer quelques millions de rançon ou plusieurs dizaines de millions au titre de la police d'assurance qui a été contractée, il va payer la rançon. C'est une évidence ! ", analysait-il.
Pour rappel, un ransomware est un malware qui paralyse un système d'information en chiffrant l'intégralité des données s'y trouvant. Les cybercriminels proposent ensuite à la victime une clé de déchiffrement en échange d'une certaine somme payable en bitcoins, donc impossible à annuler une fois payée. Cette rançon peut atteindre parfois plusieurs millions d'euros.
Les ransomwares explosent
Les signalements de ransomwares ont augmenté de 255% en 2020, d'après les chiffres de l'Anssi. Cette tendance s'accentue d'année en année. Face à ce constat, certaines assurances commercialisent une offre dédiée à la sécurité informatique. Ces contrats permettent de protéger une entreprise contre les risques informatiques et de l'aider à faire face aux conséquences d'une cyberattaque, dont la demande de rançon fait partie.
Or, d'après les consignes officielles, il ne faut jamais payer la rançon exigée par des cybercriminels. Car cela entretient voire renforce leur activité. Mais dans certaines situations, le paiement de la somme litigieuse coûte moins cher pour les assureurs que le versement de l'indemnité prévue dans la police d'assurance.
D'un point de vue purement économique, cette réaction est légitime mais elle est dangereuse puisqu'elle envoie le mauvais signal aux cybercriminels. Voyant que les entreprises paient à chaque attaque, ils n'ont aucune raison d'arrêter.
Un mécanisme de signalement obligatoire
La problématique liée au versement de la rançon a été examinée par la Commission supérieure du Numérique et des Postes (CSNP), un groupe parlementaire ayant pour mission de contrôler les activités postales et de communications électroniques, qui a rendu un avis au gouvernement sur la sécurité numérique.
Après avoir rappelé que 20% des entreprises paient la rançon, elle recommande au gouvernement de développer un dispositif de régulation du paiement des rançons soit pour l’interdire, soit pour rendre obligatoire, sous le couvert d’une protection du type "secret des affaires ", la déclaration aux autorités françaises d’une demande de rançon et de son traitement.
SUR LE MÊME SUJET
Pourquoi le business model des garanties "cyber rançon" est actuellement remis en cause ?
Tous les champs sont obligatoires
0Commentaire
Réagir
