Ransomwares : rembourser la rançon, un jeu dangereux que les assureurs continuent de jouer… sous conditions
Le paiement des rançons ne sera a priori pas interdit en France. Il est toujours possible de souscrire à des assurances cyber qui couvrent la rançon dans le cadre des dommages subis lors d'une cyberattaque. Mais à quelles conditions ? Et est-ce une bonne idée ? L'Usine Digitale a interrogé des spécialistes du secteur.
Tout le monde ne réagit pas comme l'hôpital de Corbeil-Essonnes, victime d'une cyberattaque par rançongiciel au mois d'août, qui affirme qu'il ne paiera jamais la rançon que lui réclament les pirates (même si celle-ci a été ramenée de 10 à 1 million de dollars par le GIGN).
62% des entreprises françaises ayant été victimes d'un rançongiciel ont payé la rançon, selon un rapport de l'assureur Hiscox, pour lequel Forrester a interrogé 900 entreprises françaises fin 2021 et début 2022. C'est 3 points de moins que l'année précédente, et c'est tant mieux, si l'on en croit les dernières études publiées sur la question.
Payer la rançon, pas toujours rentable
En effet, un rapport d'IBM évaluant le coût moyen des cyberattaques entre mars 2021 et mars 2022, indique que le paiement de la rançon n'est pas toujours rentable pour l'entreprise. Cela ferait diminuer la note d'une cyberattaque de 610 000 dollars en moyenne mondiale, mais sans compter la rançon, dont la moyenne est supérieure selon Sophos.
Une autre étude d'avril 2022 de la société spécialisée en cybersécurité Cybereason, réalisée auprès de 1456 entreprises de plus de 700 salariés (dont 10% en France), révèle que 68% des sociétés qui paient se font attaquer de nouveau moins d’un mois après la première cyberattaque. Et seulement 42% ont récupéré l'intégralité de leurs données et de l'usage de leurs systèmes d'information.
Pour autant, on ne parle plus, en France, d'interdire le paiement des rançons. Au contraire, un projet de loi (LOPMI) proposait avant l'élection présidentielle de clarifier cette question, en conditionnant leur remboursement par les assurances cyber au dépôt d'une plainte sous 48h, afin que "les services compétents disposent des informations nécessaires pour poursuivre les auteurs de l’infraction".
Une minorité d'assureurs refuse de couvrir les rançons
Bien que Generali France et Axa France (hors grandes entreprises, toujours couvertes par Axa XL) aient tous les deux renoncé au remboursement des rançons, ils ne représentent pas la position majoritaire des assureurs. Le 21 juillet 2022, l'Association de Genève, un lobby international de l'assurance, a annoncé qu'elle s'opposait à l’interdiction du paiement des rançons par les gouvernements. "Interdire le paiement des rançons ou leur remboursement par les assureurs entraînerait probablement la clandestinité des transactions, privant les autorités de la capacité d’enregistrer et d’analyser les incidents et de poursuivre les criminels", estime-t-elle.
"On compte une bonne dizaine d'assureurs de première ligne sur le segment, et en général ils couvrent les frais consécutifs au ransomware, y compris la rançon", indique à l'Usine Digitale Guillaume Deschamps, directeur du département des risques financiers France et Europe de l'Est chez le courtier Willis Towers Watson (WTW). AIG, Chubb, Zurich, Axa XL, SMA, Hiscox, mais aussi Groupama et MMA par exemple, font partie de ceux-là.
"Le remboursement de la rançon est compris d'office dans les dommages subis de nos contrats cyber, ainsi que dans l'option pertes d'exploitation. Nous estimons qu'il est extrêmement important de pouvoir payer la rançon, car cela peut limiter ou éviter la perte d'exploitation. Nous sommes là pour aider nos clients, or dans certaines situations c'est la meilleure solution, et cela peut être économiquement plus rentable", justifie Hiscox, l'un des assureurs les plus anciens sur le marché français de l'assurance cyber dont il détient environ 10%.
La décision finale revient toujours à l'expert de l'assureur
Mais attention, "l'idée n'est pas de payer à tout prix", précise Nicolas Kaddeche, directeur technique de Hiscox Assurances France. "D'abord, on cherche à savoir quelle est la sensibilité des données chiffrées, s'il existe des sauvegardes, ou une autre solution. Nous travaillons avec des partenaires en fonction des types de clients et d'attaques pour qualifier, circonscrire l'incident, et éviter qu'il ne s'aggrave. C'est l'expert qui statue en dernier ressort. La décision est prise considérant l'intérêt opérationnel et économique. Si le client décide tout seul de payer sans l'accord de l'assureur, il ne sera pas remboursé. Si l'assureur donne son feu vert, nous assistons le client pour payer et négocier", Moins de 60% des clients de Hiscox paient la rançon.
Outre la prise en charge des dommages subis, et éventuellement du rachat de matériel, de la remise en état et des dommages causés aux tiers (responsabilité civile), les prestations d'assistance dans la gestion de la cyberattaque, mentionnées par Hiscox, constituent l'autre gros avantage des assurances cyber, notamment pour les TPE-PME. Se focaliser sur le seul remboursement de la rançon serait de très courte vue, et généralement ce n'est pas ça qui décide les entreprises à souscrire.
Des assurés triés sur le volet
Mais ces assurances leur coûtent de plus en plus cher. D'après l'Amrae, le montant des primes versées par les entreprises a augmenté de plus de 44% en 2021, alors même que les capacités souscrites (le montant maximum des garanties) ont baissé de 32%. Pour les grandes entreprises par exemple, les taux de prime ont doublé. Un "traitement de cheval", de la bouche même de l'Amrae, destiné à redresser la rentabilité de l'assurance cyber pour les assureurs. Chez Hiscox, qui s'adresse à un coeur de cible PME (jusqu'à 50 millions d'euros de chiffre d'affaires), les primes ont augmenté de 15 à 25% en moyenne.
Les restrictions se sont également multipliées, avec une hausse des franchises (4 millions d'euros en moyenne pour les grandes entreprises, 7670 euros pour les petites entreprises et 32 217€ pour les moyennes), complétées par des "quotités non garanties". Par exemple, l'assureur ne prend en charge que 50% des coûts liés à un ransomware et applique des "sous-limites" (des plafonds de remboursement par catégories de dommages).
"L'assurance cyber, c'est compliqué. Les assureurs sont très frileux, il n'y a pas beaucoup de solutions sur le marché, ils sont très exigeants sur la qualité des risques. Il n'est pas rare de voir des questionnaires de 300 à 500 questions destinés à apprécier la qualité du risque. Les PME commencent à bouger, mais les attentes techniques sont tellement importantes que parfois elles sont dans l'incapacité de s'assurer", détaille Guillaume Deschamps.
Stoïk, l'assurtech qui dit non au paiement des rançons
Chez Stoïk, un nouvel entrant sur le marché de l'assurance cyber, pas de questionnaire à rallonge. La start-up, qui a récemment levé 11 millions d'euros, a pour ambition de devenir leader de l'assurance cyber sur le marché des TPE-PME (jusqu'à 50 millions d'euros de CA) avec un concept : une assurance associée à un logiciel de détection des failles de sécurité, qui lui sert aussi à qualifier les dossiers de souscription. L'autre particularité de Stoïk, c'est qu'elle refuse catégoriquement d'intégrer le paiement des rançons à son produit. Pour son président Jules Veyrat, cela revient à "se tirer une balle dans le pied en alimentant la criminalité", et "c'est déresponsabilisant". Il préfère miser sur la prévention.
La start-up couvre les entreprises jusqu'à 1 million d'euros. Distribuée par les courtiers, elle prévoit 800 à 1000 contrats signés en 2022, et assure que le non-remboursement de la rançon n'est en aucune façon un obstacle à son développement.
Tous les indicateurs convergent en tout cas vers une hausse de la demande pour l'assurance cyber de la part des TPE-PME, qui sont aujourd'hui moins de 1% à être couvertes. Une demande malheureusement supérieure à l'offre.
SUR LE MÊME SUJET
Ransomwares : rembourser la rançon, un jeu dangereux que les assureurs continuent de jouer… sous conditions
Tous les champs sont obligatoires
0Commentaire
Réagir
