Les assureurs pourront rembourser les rançons payées par leurs clients, a décidé Bercy. Une décision qui met fin à une zone grise mais qui risque d’encourager la cybercriminalité, dénonce une ancienne parlementaire, autrice d’un rapport sur le sujet. La direction générale du Trésor propose ainsi de « conditionner l’assurabilité des cyber-rançons au dépôt de plainte de la victime », une mesure présente dans le projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) présenté ce mercredi en Conseil des ministres, précise le ministère de l’Economie dans un communiqué.
Et « une task force dédiée à l’assurance du risque cyber, associant les acteurs concernés, sera mise en place d’ici la fin du mois de septembre », indique aussi Bercy. Jusqu’à présent, une zone grise subsistait sur ce sujet. Si l’indemnisation par les assureurs des rançons n’était pas illégale, un rapport parlementaire avait proposé il y a un an de l’interdire.
Des données récupérées mais pas fiables
L’obligation de déposer plainte pour être indemnisé « est une bonne chose », a réagi Valeria Faure-Muntian, ancienne députée LREM et autrice du rapport. Mais selon elle, le paiement des rançons est « contreproductif ». « Je maintiens ce que je disais dans mon rapport : par ce biais, on alimente la criminalité et certaines entreprises peuvent voir cela comme une déresponsabilisation et ne pas faire suffisamment d’investissement dans la prévention », explique-t-elle.
Par ailleurs, rien ne garantit que les données récupérées soient exploitables ou ne contiennent pas un nouveau virus, une fois la rançon payée, relève Valeria Faure-Muntian. Toutes les entreprises « qui ont bien voulu témoigner sur la récupération des données (après avoir acquitté la rançon) ont déclaré que celles-ci n’étaient pas en état d’être exploitées immédiatement » et ont mis du temps à retrouver leur situation d’avant-crise, souligne-t-elle. Un point de vue partagé également par Stoïk, une entreprise proposant une assurance et des logiciels de cybersécurité aux entreprises, et qui revendique de ne pas payer les rançons.
Un risque peu couvert
Pour Florence Lustman, présidente de France Assureur, la fédération du secteur, « toute imprécision dans un contrat, de toute façon, est mauvaise pour l’assuré et pour l’assureur. Donc tout ce qui va dans le sens de la clarification va dans le bon sens », a-t-elle estimé devant des journalistes mercredi.
En mai 2021, Axa France avait suspendu la commercialisation de l’option « cyber rançonnage », le temps que le cadre d’intervention de l’assurance soit précisé, et avait été suivi par Generali France début 2022. Dans son rapport, le Trésor souligne que pour développer l’assurance cyber, qui ne représente que 3 % des cotisations en assurance dommage des professionnels, il convient, entre autres, de mieux mesurer les préjudices et donc le risque cyber, en partageant les données entre le public et le privé, et d’« accroitre les efforts de sensibilisation des entreprises ».
Les petites entreprises en danger
Selon Mickaël Robart, directeur en charge du développement chez le courtier Diot-Siaci, la majorité des entreprises non assurées sont les TPE et PME, qui jusqu’à récemment appréhendaient mal ce risque. Aujourd’hui, ce sont elles « qu’il faut assurer en priorité » face à la menace des rançongiciels, estime-t-il. Ce sont elles qui sont tentées de payer la rançon alors que « dans 99 % des cas, les grands groupes refusent », ajoute-t-il.
Pour Alain Assouline, président numérique de la Confédération des petites en moyennes entreprises (CPME), c’est « une avancée importante », mais reste à voir si les assureurs vont se saisir des préconisations faites pour développer l’offre. Car du côté de ces derniers, « c’est un risque qu’on a encore un peu du mal à appréhender », expliquait il y a quelques jours Bertrand Romagné, président de l’Association des professionnels de la réassurance en France (Apref), pour justifier la frilosité du secteur à cet égard.
10 millions de dollars réclamés à l’hôpital de Corbeil-Essonnes
Il citait l’exemple du virus NotPetya, qui avait ciblé nombre d’entreprises il y a quelques années et qui aurait coûté 10 milliards de dollars. Et le 21 août, le Centre hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes a été victime d’une attaque informatique qui a considérablement affecté son activité. Une demande de rançon de 10 millions de dollars a été exigée par le ou les hackers.
