Cyberattaques : le paiement des rançons par les assureurs bientôt illégal ?

Publié le 21 avril 2021 par Antoine Fruchard 
assureurs accuses de ceder au ransomware

Alors que 14 % des entreprises françaises ont été la cible de cyberattaques en 2020, le Sénat, l’Anssi et le Parquet de Paris se sont réunis lors d’une audition le 15 avril dernier et ont reproché aux assureurs d’encourager le ransomware en acceptant de payer les rançons demandées lors d’une cyberattaque.

Avec près de 2 victimes sur 3 qui acceptent de payer, la France fait partie des pays qui cède le plus au monde lorsqu’il s’agit de s’acquitter d’une rançon. Or, selon Johanna Brousse, vice-procureure de la section cybercriminalité du parquet de Paris, cela pose problème. En effet, “payer encourage les hackeurs à s’en prendre plus facilement à notre tissu économique”. Seulement, une réalité se cache derrière ce comportement. Payer une rançon revient souvent moins cher aux assureurs que d’assumer les conséquences d’une cyberattaque. Il faut donc “mener un travail de fond pour casser ce cercle vicieux autour du paiement des rançons”, affirme Guillaume Poupard, directeur général de l’agence nationale de la sécurité des systèmes informatiques (Anssi). 

Ransomware : pas de consensus chez les assureurs

Pour l’assureur Hiscox, interrogé à ce sujet, accuser les compagnies d’assurance d’encourager le ransomware est un “raccourci dommageable« . En effet, la pratique est antérieure à la création des cyber assurances, qui ne viennent finalement que répondre à un besoin des entreprises. À l’inverse, d’autres acteurs comme Generali s’opposent fermement au paiement de toute rançon, quitte à perdre certains contrats, notamment auprès des courtiers qui réclament très souvent l’option “paiement de rançon”. L’assureur dit ainsi ne pas vouloir “alimenter un système délinquant”. 

Alors, que faire contre le ransomware ?

Si le paiement d’une rançon en cas de cyberattaque ne constitue pas aujourd’hui une infraction, les autorités envisagent bel et bien d’interdire la pratique. “Nous ne voulons plus payer et nous n’allons plus payer” s’est ainsi exprimée Johanna Brousse lors de l’audition du 15 avril. Le Haut comité juridique de la place financière de Paris (HCJP) a d’ores et déjà été missionné pour étudier la question et, à terme, proposer des recommandations. Interdiction qui, si elle aboutit, donnera certainement lieu à une refonte profonde des politiques de sécurité des entreprises françaises. Affaire à suivre… 

À lire aussi : Incendie OVH : plusieurs assureurs français ont été touchés

Il est nécessaire de remplir ce champs.
Votre nom est requis.