Les assureurs pourront indemniser les victimes de ransomware qui se voient demander une ranon pour avoir nouveau accs leurs fichiers, condition que les entreprises portent plainte. Cette orientation est-elle la meilleure ? Le schma aux USA montre que les compagnies d’assurance participent l’augmentation des attaques de ransomwares. Mme lorsque les organismes publics et les entreprises touchs par les ranongiciels pouvaient rcuprer eux-mmes leurs fichiers, les assureurs prfrent payer la ranon. Pourquoi ? Les attaques sont bonnes pour les affaires.
Le ransomware est un logiciel malveillant qui bloque laccs vos outils informatiques et vos donnes en les chiffrant. Une fois chiffres, ces dernires peuvent tre bloques, dtruites ou exploites sur des marchs parallles prix dor. Pour rcuprer ces donnes, le cybercriminel demande le paiement dune ranon en change dune cl de dchiffrement.
Si l’indemnisation par les assureurs des ranons n’tait pas illgale, un rapport parlementaire avait propos il y a un an de l’interdire. En attendant d’y voir plus clair, Axa France avait suspendu en mai 2021 la commercialisation de l’option cyber ranonnage . Le groupe avait t suivi par Generali France dbut 2022.
Pourtant, les risques d’attaques par ransomware ont augment.
Selon l’dition 2022 du rapport Data Breach Investigations de Verizon, le nombre dattaques par ransomware a fortement augment par rapport lanne dernire, et il est aussi plus important quau cours des 5 dernires annes combines. Le rapport met en lumire une anne singulire en matire de cyberscurit.
Hans Vestberg, PDG et prsident de Verizon, dclare : Au cours de ces dernires annes, la pandmie a mis en vidence un certain nombre de problmes importants que les entreprises ont t contraintes de rsoudre en temps rel. Mais nulle part ailleurs la ncessit de s’adapter n’est plus importante que dans le monde de la cyberscurit. Alors que nous continuons de nous diriger rapidement vers un monde de plus en plus numris, des solutions technologiques efficaces, des systmes de scurit fiables et une importante concentration sur l’ducation permettront de jouer un rle important dans le but de garantir la scurit des entreprises et la protection des clients.
Le paysage dress du ct de l’ANSSI tait plus sombre puisqu’il a indiqu que les attaques par ransomware ont augment de 255% depuis 2020 daprs lANSSI. Parmi les secteurs les plus touchs, la finance et lassurance arrivent en premire place, suivis par lindustrie, lnergie puis le retail.
Menace importante en 2021, le ransomware constitue 60% des attaques observes par le CERT-Wavestone. La France est le 4me pays le plus touch au monde aprs le Canada, le Royaume-Uni et les Etats-Unis. Dans 56% des cas, les victimes n’avaient pas anticip tre la cible potentielle d’une cyberattaque et dans 90% des cas, des donnes ont t perdues irrmdiablement.
Comme pour illustrer la situation, fin aot, le Centre hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes a t victime d’une attaque informatique. Une demande de ranon de 10 millions de dollars a t exige par le ou les hackeurs.
Pourtant, selon un rapport de la direction gnrale du Trsor, le risque cyber est encore relativement peu assur, et ne reprsente que prs de 3 % des cotisations en assurance dommage des professionnels. Ce constat est le fruit de deux facteurs selon le rapport : une sous-estimation, ou en tout cas une difficult apprhender le risque cyber pour les entreprises (en particulier les plus petites), et des difficults estimer ses impacts pour les acteurs de lassurance, en particulier lors dincidents de grande ampleur.
Pour mmoire, la demande de Bruno Le Maire, ministre de lEconomie, des Finances et de la Souverainet industrielle et numrique, la direction gnrale du Trsor a mis en place, en juin 2021, un groupe de travail portant sur le dveloppement dune offre assurantielle de couverture des risques cyber, associant, outre les services de ltat, des deux reprsentants des entreprises, des organismes dassurance et de rassurance et des experts du monde acadmique. C’est suite ces travaux que le rapport sur le dveloppement de lassurance du risque cyber a vu le jour.
Un plan d’action dclin en quatre axes a alors t dclin.
Paiement des ranons : dpt de plainte obligatoire
En premier point, le rapport insiste sur la clarification du cadre juridique de lassurance du risque cyber. Il est ainsi recommand de diffuser des bonnes pratiques de rdaction pour amliorer la prise en compte de ce risque. moyen terme, il est propos de renforcer linformation des assurs sur ltendue de leurs garanties. Enfin, indique Bercy, lobligation dun dpt de plainte de la victime pour permettre lassurabilit dune cyber-ranon, ainsi quun principe gnral dinassurabilit des sanctions administratives sont galement proposs pour lever des ambiguts dommageables aux assurs comme aux assureurs . La mesure ddie aux cyber-ranons avec obligation de dpt de plainte pour tre indemnis, est partie intgrante du projet de loi dorientation et de programmation du ministre de lIntrieur (LOPMI) prsent ce mercredi 7 septembre en Conseil des ministres.
Mieux mesurer le risque cyber
Le rapport recommande damliorer lvaluation des risques des assureurs afin de permettre aux acteurs de mieux prendre en compte lexposition au risque oprationnel cyber. La cration dune catgorie de reporting au superviseur ddie au risque cyber puis, moyen terme, dune branche cyber ddie est galement recommande. Le rapport prconise par ailleurs de faciliter la transmission dinformations entre assureurs au sein dune plateforme de partage de donnes sur les incidents cyber issue dun partenariat public/priv, afin de disposer de davantage de donnes sur ce risque.
Amliorer le partage de risque entre assurs, assureurs et rassureurs
Outre la promotion de solutions innovantes, comme lassurance paramtrique qui permet le versement automatique dune prestation tablie en fonction dun indice mesurable automatiquement, le dveloppement de solutions dauto-assurance telles que les captives de rassurance pourrait permettre de crer un march de lassurance du risque cyber. La mise en place dune provision ddie apparait, cet gard, tre une solution pertinente pour permettre aux entreprises de mieux grer leur risque cyber.
Le rapport prconise enfin daccrotre les efforts de sensibilisation des entreprises au risque cyber. La dfinition de rfrentiels de scurit partags et un travail sur lharmonisation des questionnaires de scurit utiliss par les assureurs constituent galement un levier pour renforcer la rsilience des entreprises.
Une mise en uvre le plus rapidement possible
Afin de mettre en uvre ces orientations, une task force ddie lassurance du risque cyber, associant les acteurs concerns, sera mise en place dici la fin du mois de septembre, prcise Bercy. Bruno Le Maire, ministre de lEconomie, des Finances et de la Souverainet industrielle et numrique, souhaite que ces orientations soient mises en uvre le plus rapidement possible . A ses yeux, lenjeu est crucial : il sagit daffirmer la souverainet numrique de notre conomie face un accroissement des menaces cyber, pour renforcer la rsilience de nos entreprises.
En revanche, la question de la couverture de dommages lis une cyberguerre, dont la notion nest pas clarifie, nest pas tranche. A la mi-aot, le Lloyds of London a lui demand ses membres assureurs dexclure partir de mars 2023 la couverture des cyberattaques tatiques.
Bruno Le Maire, ministre de lEconomie, des Finances et de la Souverainet industrielle et numrique, a dclar : Ce rapport propose des actions concrtes et crdibles pour dvelopper un march de solutions assurantielles, tout en renforant la prvention du risque cyber. Il est issu dune large concertation avec lensemble des acteurs concerns : fdrations dentreprises, assureurs, experts du monde acadmique et superviseurs. Je souhaite que ces orientations soient mises en uvre le plus rapidement possible. Lenjeu est crucial : il sagit daffirmer la souverainet numrique de notre conomie face un accroissement des menaces cyber, pour renforcer la rsilience de nos entreprises.
Une mesure bien accueillie par les assureurs
La mesure, prsente dans le projet de loi d’orientation et de programmation du ministre de l’Intrieur (LOPM), est dans l’ensemble bien accueillie par les assureurs. Toute imprcision dans un contrat est mauvaise pour l’assur et pour l’assureur. Donc tout ce qui va dans le sens de la clarification va dans le bon sens , observe Florence Lustman, la prsidente de France Assureurs. Les assurances couvrant les risques cyber sont trs peu rpandues (3 % des cotisations d’assurance-dommage des professionnels). C’est un risque qu’on a encore un peu du mal apprhender , expliquait rcemment Bertrand Romagn, prsident de l’Association des professionnels de la rassurance en France (Apref).
Pour dvelopper ce march, la direction gnrale du Trsor prconise, entre autres, de mieux mesurer le risque cyber, en partageant les donnes entre le public et le priv. Et d’accrotre les efforts de sensibilisation des entreprises , TPE et PME en tte. Ce sont elles qu’il faut assurer en priorit face la menace des ranongiciels. Elles sont tentes de payer la ranon alors que dans 99 % des cas, les grands groupes refusent , estime Mickal Robart, directeur en charge du dveloppement chez le courtier Diot-Siaci.
L’conomie de l’extorsion : comment les compagnies d’assurance alimentent une augmentation des attaques de ransomwares
Le 24 juin 2019, le maire et le conseil de Lake City, en Floride, se sont runis en session d’urgence pour dcider comment rsoudre une attaque de ransomware qui avait verrouill les fichiers informatiques de la ville pendant les quinze jours prcdents. Witt et les membres du conseil ont demand conseil au directeur municipal Joseph Helfenberger. Il a recommand la ville d’autoriser son cyber-assureur, Beazley, souscripteur au Lloyd’s of London, payer la ranon de 42 bitcoins, alors d’une valeur d’environ 460 000 dollars. Lake City, qui tait couverte contre les ransomwares dans le cadre de sa police de cyber-assurance, ne serait responsable que d’une franchise de 10 000 $. En change de la ranon, le pirate fournirait une cl pour dverrouiller les fichiers.
Si ce processus fonctionne, cela permettrait la ville d’conomiser beaucoup de temps et d’argent , leur a dit Helfenberger.
Sans poser de questions ni dlibrer, le maire et le conseil ont approuv l’unanimit le paiement de la ranon. Le paiement six chiffres, l’un des nombreux que les villes amricaines ont remis aux pirates informatiques en quelques mois pour rcuprer des fichiers, a fait la une des journaux nationaux.
Le briefing d’Helfenberger n’a pas mentionn que le personnel informatique de la ville, en collaboration avec un fournisseur extrieur, avait poursuivi une approche alternative. Depuis l’attaque, ils tentaient de rcuprer des fichiers de sauvegarde qui avaient t supprims lors de l’incident. Sur la recommandation de Beazley, la ville a choisi de payer la ranon parce que le cot d’une rcupration prolonge partir des sauvegardes aurait dpass sa limite de couverture de 1 million de dollars et parce qu’elle voulait reprendre les services normaux le plus rapidement possible.
Notre compagnie d’assurance a pris [la dcision] pour nous , a dclar le porte-parole de la ville, Michael Lee, sergent du dpartement de police de Lake City. En fin de compte, cela se rsume vraiment une dcision commerciale du ct de l’assurance: ils regardent combien cela va coter pour le rparer nous-mmes et combien cela va coter pour payer la ranon .
Le maire, Witt, a dclar dans une interview qu’il tait au courant des efforts dploys pour rcuprer les fichiers de sauvegarde mais qu’il prfrait que l’assureur paie la ranon car cela cotait moins cher la ville. Nous payons une franchise de 10 000 $ et nous reprenons nos activits, esprons-le , a-t-il dclar. Ou nous disons: » Non, nous n’allons pas faire a « , puis nous dpensons de l’argent que nous n’avons pas pour nous remettre en marche. Et donc pour moi, ce n’tait pas une dcision agrable, mais c’tait la seule dcision .
cette priode, les ransomwares prolifraient dj travers l’Amrique, dsactivant les systmes informatiques des entreprises, des gouvernements municipaux, des coles et des services de police. Durant le mois d’aot 2019 seulement, des attaquants la recherche de millions de dollars ont chiffr les fichiers de 22 municipalits du Texas. Le rle de l’assurance, une industrie qui l’alimente et en profite la fois, est nglig dans la frnsie des ransomwares. Au cours des dernires annes, la cyberassurance vendue par des entreprises nationales et trangres est devenue un march estim entre 7 et 8 milliards de dollars par an rien qu’aux tats-Unis, selon Fred Eslami, directeur associ chez AM Best, une agence de notation qui se concentre sur sur le secteur de l’assurance. Bien que les assureurs ne divulguent pas d’informations sur les paiements de ranon, les mdias ont constat qu’ils rpondent souvent aux demandes des attaquants, mme lorsque des alternatives telles que des fichiers de sauvegarde enregistrs peuvent tre disponibles.
Le FBI et les chercheurs en scurit affirment que le paiement de ranons contribue la rentabilit et la propagation de la cybercriminalit et, dans certains cas, peut finalement financer des rgimes terroristes. Mais pour les assureurs, cela a un sens financier, ont dclar des initis de l’industrie. Il rduit les cots des sinistres en vitant des dpenses telles que la couverture des pertes de revenus dues aux services bloqus et les frais permanents des consultants aidant la rcupration des donnes. Et, en rcompensant les pirates, il encourage davantage d’attaques de ransomwares, qui leur tour effraient davantage d’entreprises et d’agences gouvernementales les conduisant mettre plus d’argent sur les polices d’assurances.
Il n’incombe pas la compagnie d’assurance d’arrter le criminel, ce n’est pas sa mission. Leur objectif est de vous aider reprendre vos activits. Mais cela soulve la question, lorsque vous payez ces criminels, que se passe-t-il l’avenir ? a dclar Loretta Worters, porte-parole de l’Insurance Information Institute, un groupe industriel but non lucratif bas New York. Les attaquants voient les poches profondes. Vous avez le secteur de l’assurance qui va payer, c’est formidable .
Un porte-parole de Lloyd’s, qui souscrivait en 2019 environ un tiers du march mondial de la cyber-assurance, a dclar que la couverture est conue pour attnuer les pertes et se protger contre de futures attaques, et que les victimes dcident de payer ou non des ranons. La couverture est susceptible d’inclure, en cas d’attaque, l’accs des experts qui aideront rparer les dommages causs par toute cyberattaque et s’assurer que toutes les faiblesses de la cyberprotection d’une entreprise sont limines , a dclar le porte-parole. La dcision de payer une ranon reviendra l’entreprise ou l’individu qui a t attaqu .
Source : ministre de l’conomie, des finances et de la souverainet industrielle et numrique
Et vous ?
Que pensez-vous de la possibilit pour les assureurs d’indemniser les victimes de ransomware en France ?
Une orientation susceptible d’encourager la croissance des demandes de ranons ?
Que pensez-vous du plan d’action de la direction gnrale du Trsor ?
tes-vous pour ou contre le paiement d’une ranon ? Dans quelle mesure ?
Quelles sont les moyens de protection dont une entreprise devrait disposer pour prvenir une attaque par ransomware ?
Voir aussi :
Le nombre d’attaques par ransomware a augment de 13 % par rapport l’anne dernire. L’lment humain est impliqu dans 82 % des infractions analyses, selon Verizon
La France, 4me pays le plus touch au monde en 2021 – le ransomware sera-t-il le virus le plus menaant en 2022 ? Une tude de Mailinblack