Assurer le risque cyber, mission impossible ?

Payer ou ne pas payer ? Cette question a beaucoup agité la communauté cyber ces derniers mois. La réponse globale : non. A ce sujet, le texte voté en dernière lecture par le Sénat, le 14 décembre 2022, précise, au terme de son article 5 sur l’assurance de risques de cyber attaques, « que le versement d’une somme en application de la clause d’un contrat visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données est subordonné d’un dépôt de plainte de la victime au plus tard 72 heures après la connaissance de l’atteinte par la victime ».

« Le non-paiement de la rançon doit être la règle. Dans le cas contraire, cela reviendrait d’une part à financer l’écosystème cybercriminel et renforcer par là-même les capacités d’attaque des cybercriminels qui réinvestissent pour sophistiquer leurs méthodes et outils, d’autre part à oublier que le paiement de la rançon ne protège pas d’une nouvelle attaque et de la diffusion des données exfiltrées accompagnant le plus souvent les attaques par rançongiciels », indique Nicolas Guidoux, commissaire divisionnaire à la tête de l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication).

Du côté des professionnels des systèmes d’information, le Cesin avait mentionné, dans son édition 2022 de son Baromètre, que 69% des répondants avaient souscrit une cyber assurance. Et 50% des entreprises ayant subi une attaque ont déposé plainte. Après avoir sondé ses adhérents sur les dispositions réglementaires de la LOPMI, notamment celle relative au remboursement du paiement de la rançon conditionné à un dépôt de plainte, 82,43% des adhérents du Cesin sondés sur cette question à l’automne 2022 étaient contre le paiement de la rançon.

« Une mauvaise réponse à une bonne question »

« Personne ne peut encourager de plein gré le paiement des rançons. En fait, c’est une mauvaise réponse à une bonne question. Il faudrait décorréler les deux aspects. C’est une saine gestion du risque et un comportement responsable de la part d’un chef d’entreprise que de porter plainte en cas d’attaque informatiques. Mais lier les deux éléments – dépôt de plainte et remboursement d’une rançon – ce n’est pas forcément souhaitable », a affirmé Alain Bouillé, délégué général du Cesin.

D’autant que cette disposition pose un problème d’effectif et de formation des forces de police. Même si le dépôt de plainte en ligne est possible, il faut l’instruire et diligenter l’enquête qui y correspond. « La pandémie [de covid-19] n’a fait qu’accentuer le phénomène des arnaques en ligne et a contribué à élargir la surface d’attaque pour les pirates informatiques notamment avec le recours étendu au télétravail. S’agissant de la formation, 20 000 formations cyber ont été dispensées par la police nationale. Aujourd’hui, 12 000 policiers ont ainsi été formés à des degrés divers à la lutte contre la cybercriminalité », a expliqué L’OCLCTIC.

Yoann Kassianides, délégué général de l’ACN, souligne de son côté « que lier le paiement des rançons au dépôt de plainte est sans doute une mauvaise réponse à une vraie question ». Notamment celle de mieux appréhender le chiffre réel de la cybercriminalité, et une connaissance plus fine des cyberattaques. Comme le précise l’Argus de l’Assurance, « le texte [législatif] ne concerne pour l’instant que les entreprises et les professionnels ayant souscrit un contrat d’assurance cyber. C’est-à-dire selon le baromètre LUCY de l’Amrae (Association pour le Management des Risques et des Assurances de l’Entreprise) : 84% des grandes entreprises, 9% des ETI , et 0,2% de PME et TPE ».

Dans un document intitulé « La maîtrise du risque numérique – L’atout confiance », Brigitte Bouquot, présidente de l’Amrae, écrit en préambule que « le risque numérique est devenu incontournable, mais nous avons du chemin à faire pour le maîtriser ». « Le risque numérique est devenu un risque stratégique, et que le responsable des systèmes d’information a réussi à faire passer ce message auprès des décideurs ». Partant de là, deux mondes qui s’ignoraient (celui des gestionnaires de risque et des informaticiens) ont désormais pris conscience qu’il fallait travailler ensemble pour combattre un risque qui est devenu systémique.

62% des PME s’attendent à ce que l’assureur paye

Le sujet de l’assurance du risque cyber, embryonnaire il y a quelques années, est devenu primordial et s’est par conséquent professionnalisé, notamment pour les PME. Ces dernières s’inquiètent du montant des contrats d’assurance lié à ce risque. A ce sujet, on peut lire dans une étude menée en octobre 2022 par l’Ifop pour Stoïk, un assureur spécialisé sur le risque cyber, que « 6 000 PME ont été attaquées au cours des 12 derniers et que 67% sont conscientes du risque cyber ».

Selon ce même sondage, « 76% des PME sont en demande d’améliorer leur posture sur la cybersécurité, et 62% des PME s’attendent à ce que l’assureur paye la rançon à leur place en cas d’attaque par un rançongiciel ». Les franchises sont de moins calculées en pourcentage du chiffre d’affaires mais de plus en plus en jours avant remédiation (une douzaine d’heures le plus souvent). Ainsi, les grands assureurs (Chubb, Generali, Axa etc.), ont développé des contrats spécifiques alors que la tendance était, auparavant, d’inclure des garanties cyber dans des contrats courants.

Jean-Marc Bloch, agent général d’assurance Generali dans le Finistère, souligne le fort besoin des entreprises concernant la demande d’assurance cyber. Et ce bien qu’elles ne soient pas forcément très conscientes des moyens à mettre en place : « Dans nos questionnaires d’évaluation, nous posons des questions classiques, comme l’importance du parc informatique, l’existence de sauvegardes régulières dans le cloud et/ou sur des supports physiques stockés ou non dans l’entreprise ou les activations du firewall. Nous avons effectivement un rôle de prévention et de sensibilisation. »