Ransomware : L’assurance ne pourra pas toujours payer la rançon

Ransomware : L’assurance ne pourra pas toujours payer la rançon

Axa France ne paiera plus les rançons : l’assureur a annoncé la suspension de son option “cyber rançonnage”, une option proposée depuis mi-2020 aux entreprises ayant souscrit à la police d’assurance Cyber Secure proposée par Axa. Comme l’explique Axa France, ce soudain revirement est venu directement de la prise de parole du directeur de l’Anssi et du parquet de Paris sur ce sujet lors d’une audition au Sénat. Guillaume Poupard avait souligné le « jeu trouble » des assureurs qui, en facilitant le paiement des rançons, faisaient donc des entreprises françaises des cibles de choix pour les cybercriminels.

publicité

Les assureurs en position délicate

Pour AXA France, qui proposait ce type de prestation, la déclaration a fait son effet. Comme l’explique une porte-parole de l’assureur, « dans ce contexte, AXA France, qui avait complété sa gamme d’une option en ce sens, a jugé opportun d’en suspendre la commercialisation le temps que les conséquences soient tirées de ces analyses et que le cadre d’intervention de l’assurance soit clarifié. Il est primordial que les pouvoirs publics concrétisent leur position sur ce sujet afin de permettre à tous les acteurs du marché d’harmoniser leurs pratiques ».

Elle précise néanmoins que cette suspension n’affecte pas le reste de la police d’assurance Cyber Secure proposée par l’assureur, qui continuera de proposer à ses assurés le reste des services associés à ce contrat. L’option cyber rançonnage était proposée aux entreprises ayant mis en œuvre une politique de sécurisation du système informatique, et réservée aux « cas marginaux » où le paiement de la rançon était considéré comme la seule solution disponible. De la même manière, cette option était réservée aux entreprises ayant déposé plainte. Et, dans le cas où la plainte était transmise aux services antiterrorisme, AXA France indique qu’il refusait alors de rembourser le paiement des rançons.

L’audition du Sénat a poussé les assureurs à se positionner sur ce sujet sensible. AXA France n’est en effet pas le seul du secteur à proposer ce type de prestation : le mois dernier, l’assureur Hiscox expliquait ainsi à L’Argus de l’Assurance que ce type de prestation faisait partie de leurs contrats, bien que cette éventualité soit toujours présentée comme une « solution de dernier recours ». D’autres acteurs du milieu, comme Generali, se déclarent en revanche radicalement opposés à ce type de pratiques.

Le paiement des rançons dans le collimateur

Suite à cette audition, on apprend notamment que la direction générale du Trésor a confié au Haut comité juridique de la Place financière de Paris le soin de créer un groupe de travail sur la question du paiement des rançons. Celui-ci doit parvenir à une série de recommandations sur le sujet, et éclaircir la position des autorités sur la légalité de cette pratique.

L’interdiction du paiement des rançons est une question épineuse, mais qui se fait de plus en plus entendre dans le milieu des nouvelles technologies. En fin d’année 2020, la société de cybersécurité Emsisoft avait ainsi publié une tribune appelant les gouvernements à interdire le paiement des rançons afin d’endiguer la vague d’attaques de ransomware. A la même période, le Trésor américain avait rappelé que le paiement de rançons en direction de certains groupes pouvait conduire à des sanctions pour l’entreprise victime. En début d’année 2021, l’ex-dirigeant de l’agence de cybersécurité britannique avait lui aussi appelé à un changement de la loi visant à interdire le paiement des rançons, là aussi pour éviter de financer un écosystème criminel.

Les montants des rançons extorquées suite aux attaques de ransomware sont en pleine croissance depuis plusieurs années. Selon une analyse de la société Palo Alto Networks, le montant moyen des rançons payées par les entreprises a triplé en 2020, passant de 115 123 dollars en 2019 à 312 393 dollars en 2020, avec des montants records pouvant s’élever jusqu’à 30 millions de dollars. Cette croissance reflète le changement de tactique des cyberattaquants, qui multiplient les moyens de pression sur leurs victimes et n’hésitent plus à s’attaquer à de grandes entreprises, susceptibles de payer des rançons plus importantes.

Leave a Reply

Your email address will not be published. Required fields are marked *