En 2020, 14% des entreprises françaises ont fait l’objet d’une cyberattaque avec demande de rançon (ransomware). Dans près deux cas sur trois, les victimes se sont acquittées de la rançon. Ce qui fait de la France l’un des pays qui paye le plus au monde ces demandes de rançons, selon les résultats d’une étude sur la cybersécurité sur les PME et les TPE menée par l’assureur Hiscox.
« Payer, c’est encourager les hackers »
Un constat saisissant qui inquiète les autorités publiques. Lors d’une audition au Sénat sur la cybersécurité des ETI et des PME, le 15 avril dernier, Johanna Brousse, la vice-procureure chargée de la section « cybercriminalité » du parquet de Paris et Guillaume Poupard, le directeur général de l’Agence Nationale de la Sécurité des Systèmes Informatiques (ANSSI), s’en sont pris au rôle des assureurs dans le paiement de ces rançons.
« La France est aujourd’hui l’un des pays les plus attaqués en matière de rançongiciels (…) parce que nous payons trop facilement les rançons », souligne la magistrate, étrillant au passage les assureurs cyber qui « garantissent le paiement des rançons ». Une pratique qu’elle juge dangereuse parce que « payer les rançons pénalise tout le monde. Cela encourage les hackeurs à s’en prendre plus facilement à notre tissu économique parce qu’ils se disent – de toute façon les Français payent – »
Guillaume Poupard va plus loin en qualifiant de « jeu trouble » la garantie de paiement de rançon intégrée dans les contrats de certains assureurs. Selon le directeur général de l’ANSSI, les porteurs de risques « préfèrent payer quelques millions de rançons plutôt que quelques dizaines de millions au titre de la perte des données garantie par la police d’assurance contractée. Nous devons mener un travail de fond pour casser ce cercle vicieux autour du paiement des rançons. »
Pourquoi certains assureurs « passent à la caisse »
Face à ces accusations, la Fédération Française de l’Assurance (FFA) rappelle « qu’à ce jour, et mis à part certains cas spécifiques visés par la législation, le paiement d’une rançon ne constitue pas une infraction ». Pour autant, « le marché français est très partagé sur la question du paiement de la rançon », reconnait Astrid-Marie Pirson, directrice de la souscription chez Hiscox France.
L’assureur admet que « le paiement de la rançon en dernier ressort fait partie de la promesse d’assistance que l’on fait » qui tient à rappeler que « les ransomware n’ont pas été créés par l’assurance cyber. Il y a une forme de raccourci assez dommageable. « S’il peut y avoir une raison pour l’entreprise d’envisager de payer la rançon, je ne vois pas pourquoi on lui interdirait de transférer le risque à un assureur ».
Une volonté d’interdire cette pratique
Face à ces arguments, les autorités souhaitent interdire purement et simplement le paiement de la rançon. « Il va falloir durcir le ton en matière de rançon » prévient la vice-procureure. « Nous ne voulons plus payer et nous n’allons plus payer. Il faut que les hackeurs prennent conscience que la France n’est pas la poule aux œufs d’or ! ».
La direction générale du Trésor a d’ailleurs missionné le HCJP (Haut Comité juridique de la Place Financière de Paris) pour travailler sur le sujet et aboutir à des recommandations. La FFA fait, d’ailleurs, partie de ce groupe de travail. « Si les autorités décident d’interdire le paiement de rançon pour tous types d’actes, il est évident que l’ensemble des acteurs économiques, assureurs et entreprises, s’y conformera », indique-t-on du côté de la Fédération.
http://www.senat.fr/presse/cp20210415c.html
https://www.hiscox.fr/sites/france/files/documents/Etude%20Cyber%20Readiness.pdf