Cyberattaques et rançons : quel est le rôle des assureurs ?

Un récent rapport du Haut Comité Juridique de la Place Financière de Paris, portant sur l’assurabilité des risques cyber, s’oppose à une éventuelle interdiction du paiement des rançons par les assureurs. Le Haut Comité avait été saisi par le ministère de l’Économie et des Finances, alors que se multiplient les cyberattaques d’entreprises par des hackers exigeant des rançons.

Les assureurs accusés d’encourager les demandes de rançon

La France arrive en tête des pays ciblés par des rançongiciels, ces logiciels malveillants qui bloquent l’accès à des fichiers ou à l’ensemble d’un système informatique, en échange d’une rançon.

 

En avril dernier, les assureurs, bien que peu nombreux à couvrir les cyberattaques, avaient été pointés du doigt par le directeur de l’Agence nationale de la sécurité des systèmes d’information (Anssi), Guillaume Poupard, et la vice-procureur chargée des dossiers de cybersécurité au parquet de Paris, Johanna Brousse.

Selon eux, en acceptant de payer les rançons exigées pour permettre aux entreprises d’accéder de nouveau à leurs données, les assureurs faisaient le jeu des hackers. Plus précisément, l’Anssi et le parquet de Paris accusaient les assureurs de préférer payer des rançons plutôt que des indemnités beaucoup plus importantes pour préjudice en cas de perte définitive des données.

Les assureurs s’étaient défendus en expliquant qu’ils ne versaient les rançons qu’en dernier recours, laissant au client victime de la cyberattaque la décision finale d’accepter ou non le paiement.

Le Haut Comité pointe un risque de « déséquilibre concurrentiel »

Malgré les contre-arguments des assureurs, les critiques formulées par l’Anssi et le parquet de Paris avaient été entendues. Ainsi, en octobre dernier, un rapport parlementaire publié par une députée LREM préconisait l’interdiction du paiement des rançons par les assureurs, ainsi que des sanctions pour « les entreprises, administrations ou collectivités qui procèdent au paiement des rançons ».

En réaction, plusieurs assureurs, dont AXA France, avaient décidé de ne plus proposer, du moins temporairement, cette garantie à leurs clients, dans l’attente d’une décision de la part des autorités françaises.

Saisi par Bercy, le Haut Comité Juridique de la Place Financière de Paris s’est prononcé contre une interdiction du paiement des rançons par les assureurs, avançant notamment « que les assureurs couvrent les conséquences du vol pour les victimes même si le vol est pénalement répréhensible ».

Or, selon le rapport du Haut Comité sur l’assurabilité des risques cyber du 28 janvier 2022, « Les assureurs n’ont jamais été accusés d’être à l’origine du développement des vols parce qu’ils indemnisent les victimes de ces infractions. Au contraire, les assureurs ont participé et participent toujours activement au développement de tout un écosystème de prévention et de protection des acteurs économiques contre le vol ».

De plus, le rapport souligne qu’interdire l’assurabilité des rançons au niveau national aurait pour conséquence « un déséquilibre concurrentiel », si les mêmes règles ne s’appliquaient pas « aux assureurs étrangers couvrant des risques cyber situés en France ». Les entreprises françaises victimes de cyberattaques seraient également pénalisées par rapport à celles situées dans un autre État membre autorisant l’assurabilité des rançons.

Le Haut Comité propose toutefois des axes d’amélioration, notamment :

  • l’obligation et la facilitation des dépôts de plainte,
  • le renforcement des dispositifs publics en faveur de la cyber protection,
  • « une collaboration entre assureurs et autorités judiciaires et policières pour encadrer au mieux le paiement de rançons ».