Cyberattaques et rançons : quel rôle pour les assurances ?
Les cyberattaques visant les entreprises ne cessent de croître en France ces dernières années, et bon nombre d’entre elles débouchent sur une demande de rançon. Le gouvernement a donc décidé de soutenir les entreprises en présentant, début septembre, un projet encadrant la prise en charge des cyber-rançons par les assurances. Pour analyser tous les enjeux liés à ce texte, l’opérateur de technologies digitales pour les entreprises Hub One a publié un article sur son blog.
Le 7 septembre dernier, le ministre de l’Intérieur Gérald Darmanin a présenté au conseil des ministres un projet de loi proposant aux assurances de payer les cyber-rançons demandées par les hackers suite à leurs cyberattaques touchant les entreprises. Mesure phare de la nouvelle Loi d’Orientation et de Programmation du Ministère de l’Intérieur (LOPMI), ce futur texte va être rapidement traité devant le parlement et s’accompagnera d’une hausse du budget de l’Intérieur de 15 milliards d’euros entre 2023 et 2027.
Cette somme permettra de moderniser les moyens de lutte contre la cybercriminalité, grâce à la saisie des actifs numériques, la création d’un numéro d’urgence (le 17 cyber) pour les entreprises touchées ou encore grâce au recrutement de 1 500 cyber-patrouilleurs supplémentaires.
« Le texte revient également sur la pratique controversée du paiement des rançons en cas de cyberattaque et de leur assurabilité. Il suit en ce sens le rapport de la direction générale du Trésor qui préconise de mieux structurer le marché de la cyber-assurance, en conditionnant l’indemnisation au dépôt de plainte de la victime », indique Edouard Lemoalle.
Mais voilà, les sujets du paiement et de l’assurabilité des cyber-rançons font débat. Si la règle a longtemps été de ne jamais céder aux exigences des pirates informatiques, 62% des entreprises françaises victimes de cyberattaques par rançongiciel ont payé la rançon (6 375 euros en moyenne) pour remettre la main sur leurs données en 2021. L’exécutif est donc confronté au principe de réalité.
Il y a également le problème de la transparence, puisque les entreprises n’indiquent généralement pas aux autorités avoir été victimes de rançongiciel. Les capacités d’investigation se voient ainsi limitées.
Dans le même temps, les assureurs, préparés à l’exposition des cyberattaques, signent avec les entreprises des contrats incluant une prise en charge des dommages économiques en cas d’intrusion dans leurs systèmes informatiques. Les assureurs adoptent cette stratégie pour répondre à la demande des chefs d’entreprise qui les sollicitent régulièrement pour des raisons financières ou pour des obligations contractuelles.
« Pour tenir leur modèle économique, les assureurs sont alors obligés de restreindre la couverture de risques, d’augmenter leurs tarifs ou de conditionner l’indemnisation à certains critères d’éligibilité. D’autres comme AXA France ou Generali France ont décidé de renoncer au remboursement des rançons sans évolution du cadre législatif », poursuit l’avocat.
Face à tous ces enjeux, le projet de loi modifié sur les cyber-rançons propose tout d’abord de travailler sur la sémantique. En mentionnant dans la loi l’idée que les cyber-rançons pouvaient être remboursées par les assureurs, les entreprises risquaient d’être encore plus attaquées par les cybercriminels. Suite à de larges débats dans les hémicycles, les sénateurs et les députés ont décidé d’élargir le cadre assurantiel aux « pertes et dommages » causés par une cyberattaque. Le mot « rançon » a donc été effacé.
Seconde disposition du projet : prolonger le délai du dépôt de plainte. Une entreprise sujette à une cyberattaque va rarement la relayer dans les médias afin de ne pas afficher la vulnérabilité de son système d’information (SI). Conséquence : beaucoup de piratages échappent à la surveillance des autorités.
C’est la raison pour laquelle les députés proposent d’allonger le délai maximal du dépôt de plainte à 72 heures, contre 48 heures actuellement. Ce laps de temps supplémentaire permettra aux services de l’Etat de recueillir toutes les informations pour investiguer et poursuivre les hackers.
« Les députés ayant modifié les textes validés par le Sénat, le projet de loi devra repasser entre les mains des sénateurs, puis de l’Assemblée nationale avant adoption définitive », conclut Edouard Lemoalle.