Cyber-rançon : ce discret texte législatif qui ouvre la porte à l'indemnisation par les assureurs

Alors que les débats sont vifs depuis plusieurs mois sur la possibilité d'indemnisation par les assureurs des rançons liées aux cyberattaques, le gouvernement propose de conditionner les versements à un dépôt de plainte. Plusieurs voix, notamment dans le camp de la majorité, s'alarment de cette brèche légalisant ces paiements aux cybercriminels. Alors que les menaces cyber pesant sur les entreprises explosent, et que ce segment est déficitaire pour les assureurs, France Assureurs se réjouit de cette "clarification du cadre légal de remboursement", qui pourrait booster le marché.

8 mn

Le texte d'orientation et de programmation du ministère de l'Intérieur, publié le 16 mars, ouvre une brèche dans l'institutionnalisation du paiement des cyber-rançons. C'est du moins l'analyse de la députée LREM Valéria Faure-Muntian, experte de la cyber-assurance et auteure d'un rapport parlementaire remarqué sur le sujet.
Le texte d'orientation et de programmation du ministère de l'Intérieur, publié le 16 mars, ouvre une brèche dans l'institutionnalisation du paiement des cyber-rançons. C'est du moins l'analyse de la députée LREM Valéria Faure-Muntian, experte de la cyber-assurance et auteure d'un rapport parlementaire remarqué sur le sujet. (Crédits : Reuters)

Dans l'écosystème discret de la cyber-assurance française, pas grand monde a vu venir ce projet d'article de loi concernant les modalités de paiement des cyber-rançons. L'effet de surprise est quasi-total chez les acteurs concernés. Depuis plus d'un an, le débat sur le versement d'une somme financière à des groupes de hackers pour débloquer des systèmes informatiques d'entreprises piratées agite la place politique et assurantielle et jusqu'aux plus hautes sphères de la gendarmerie nationale. Avec cette question lancinante : faut-il ou non autoriser le paiement et le remboursement par les assureurs des sommes versées aux pirates informatiques ?

Le texte d'orientation et de programmation du ministère de l'Intérieur, publié le 16 mars, ouvre une brèche dans l'institutionnalisation du paiement de ces cyber-rançons. C'est du moins l'analyse de la députée LREM Valéria Faure-Muntian, experte de la cyber-assurance et auteure d'un rapport parlementaire remarqué sur le sujet. Concrètement, le projet d'article veut conditionner le remboursement par les assureurs des sommes engagées par l'entreprise à un dépôt de plainte dans les 48 heures après le versement du butin.

"Ce texte entérine une forme de légalisation du paiement des cyber-rançons'


"Cet article de loi entérine la prise en charge du paiement des cyber-rançons. En voulant mettre noir sur plan dans le code de l'assurance les modalités de déclenchement de la garantie, et donc d'un paiement qui profitera à ces groupes criminels, on entérine, par ricochet, une forme de légalisation", fustige l'élue de l'Assemblée nationale. Du côté de France Assureurs, la fédération professionnelle des assureurs, on semble se satisfaire de ce projet. "France Assureurs demande depuis plusieurs années une clarification par les pouvoirs publics du cadre légal du remboursement, par un assureur, du paiement, par son assuré, d'un rançongiciel. Nous nous félicitons que le projet de loi aille dans le sens des propositions que nous portons", indique l'association.

Jusqu'à présent, aucune loi autorise ou interdit le paiement d'une somme à un groupe de hackers qui aurait bloqué le système informatique d'une entreprise. Ces malfaiteurs exigent de l'argent pour le débloquer, généralement payé en cryptomonnaies.

Chaque assureur peut décider ou non de proposer à ses assurés la couverture de ce risque. Pour la député Valéria Faure-Muntian, "il convient d'inscrire dans la loi l'interdiction pour les assureurs de garantir, couvrir ou d'indemniser la rançon" , réaffirme-t-elle. En effet, l'élue estime que "le paiement des rançons crée un appel d'air et encourage le crime", mettant notamment en garde les autorités dans un contexte de guerre hybride qui se déroule en Ukraine, et dont les cyberattaques sont un des leviers - indirect - du Kremlin pour répondre aux sanctions occidentales.

Avis partagé par Marc Bothorel, de la CPME : "les entreprises qui paient les rançons apparaissent comme solvables par les hackers avec un risque réel d'une nouvelle attaque".

En mai dernier, l'Agence nationale de la sécurité des systèmes d'information (Anssi) a accusé certains assureurs d'encourager les cyberattaques en prenant parfois en charge le paiement des rançons.

Une menace cyber qui devient systémique pour les entreprises

Ce sujet est crucial au regard de la menace qui fait peser le risque cyber sur les entreprises. En France, la Gendarmerie nationale a ouvert 101.000 procédures en 2020 à cause d'attaques aux rançongiciels - l'une des composantes des cyberattaques, soit une augmentation de 21% en un an.

En 2021, elle anticipait plus de 120.000 plaintes. 46% des victimes sont des PME, 21% des TPE, 14% des administrations, 9% des grandes entreprises et 7% des particuliers. Et selon une étude de Thales publiée en mars 2022, une entreprise sur cinq (21 %) a fait l'objet d'une attaque de rançongiciel l'année dernière et un cinquième (22%) des entreprises reconnaissent avoir payé ou se disent prêtes à payer une rançon pour leurs données.

Face à cette recrudescence, les autorités veulent multiplier les moyens de prévention, mais surtout d'enquête. Les entreprises ne communiquent pas ou très peu sur l'intrusion dans leur système informatique, par peur d'une mauvaise image ou de perdre la confiance de leurs partenaires ou clients. Selon Marc Boget, Général de division, commandant de la gendarmerie dans le cyberespace, les victimes d'attaques cyber ne déposent plainte que dans un cas sur 270, expliquait-il au congrès des agents généraux de la Nouvelle-Aquitaine, le 13 septembre 2021.

Un texte efficace ?

Or, pour lutter contre ce fléau, les autorités estiment avoir besoin d'augmenter les volumes de données pour comprendre quel groupe de hackers opère et comment les attaques se déroulent. C'est notamment dans ce cadre que la gendarmerie nationale et les assureurs ont noué un partenariat inédit fin septembre dernier.

Le dépôt de plainte est ainsi une façon efficace, selon les autorités, pour obtenir des informations. D'où le projet législatif conditionnant le paiement des garanties à un justificatif de plainte. Mais, pour plusieurs interlocuteurs contactés, ce projet est "hors-sol et contreproductif" et interroge sur son efficacité.

"Si la posture des services compétents a toujours été de recommander le non-paiement des rançons, la dégradation rapide de la situation appelle à une action publique plus déterminée afin de s'assurer que, dans les cas où une rançon a été payée, les autorités compétentes disposent des informations nécessaires pour poursuivre les auteurs de l'infraction", peut-on lire dans le rapport annexé au projet d'orientation.

Le projet du ministère de l'Intérieur impose donc une déclaration à postériori. L'entreprise verse l'argent, dépose plainte dans les 48 heures et peut ensuite demander réparation à son assureur, s'il est couvert. "Dans ce schéma, l'entreprise se débrouille toute seule pendant 48 heures, l'intervention des autorités est limitée, la scène du cybercrime n'est pas préservée. Il peut y avoir une déperdition d'informations. J'ai l'impression que cet article vise seulement à collecter de la données et non pas à résoudre l'enquête", estime, par exemple, Valéria Faure-Muntian.

Interrogation sur le processus du dépôt de plainte

Plusieurs acteurs contactés ne comprennent pas également le timing ni le cheminement de la copie législative. Ce projet est porté par le ministère de l'Intérieur, alors que c'est celui de l'Économie, notamment le Trésor et la sous-direction de l'assurance qui, traditionnellement, s'occupent des problématiques assurantielles. Le ministre de l'Intérieur précise toutefois que le projet de loi "a été réalisé en étroite collaboration avec Bercy" et qu'il "a été tenu compte de l'ensemble des travaux interministériels en cours".

Il faut ajouter à cela le calendrier : la législature est terminée, et il faudra donc attendre le prochain gouvernement pour éventuellement adopter ce texte. Et un responsable de la fédération nationale des agents généraux (Agea) de se questionner : "Le dépôt de plainte dans le cadre d'un vol classique n'est pas légale mais contractuelle. Pourquoi, dans le cadre d'une attaque au rançongiciel, on passerait par la voie légale et non pas contractuelle ?"

Cette mesure qui ouvrirait la voie à une autorisation légale du paiement des cyber-rançons apparaît également à rebours du marché. Ces derniers mois, plusieurs compagnies d'assurance ont annoncé renoncer à la garantie cyber-rançons. Selon une étude de l'Agea, la fédération des agents généraux, cinq compagnies d'assurance sur 12 disposant d'un réseau proposaient cette couverture. Mais depuis Axa a fait machine arrière en mai dernier.

Un marché cyber émergeant et déficitaire

Le projet de loi, s'il est adopté, pourrait-il modifier la position du géant de l'assurance ? Contacté, le groupe n'a pas souhaité commenter le texte. "Cette disposition ne fermerait pas le marché, bien au contraire", estime un expert du secteur. D'autant plus que le Haut Comité Juridique de la Place Financière de Paris, dans un rapport de janvier 2022, estime qu'"interdire l'assurabilité du remboursement des rançons en cas de cyberattaque n'est pas préconisé."

"Sans doute que certains ont pris conscience que les prises de parole publique et la pression mise sur des compagnies françaises laissaient le marché libre aux firmes anglo-saxonnes", poursuit l'expert du secteur.  "On ne propose plus cette garantie à nos clients. Mais une chose est sûr : si demain la concurrence sur ce type de contrat cyber se joue notamment sur la garantie rançon, ça semble difficile de ne pas y aller de nouveau", explique un agent général d'Axa.

Un propos corroboré par le rapport du Haut comité, qui estime qu"une telle interdiction rendrait nécessairement moins attractifs les contrats d'assurance cyber proposés aux entreprises sur le marché". Si les conditions de souscription sont trop complexes et les couvertures réduites les PME ne souscriront pas.

Mais l'équation est complexe pour les assureurs. France Assureurs estime le marché assurantiel cyber français à 135 millions d'euros de primes en 2020 par rapport à un marché global de l'assurance de dommages de près de 60 milliards d'euros en France.

Il ressort de l'étude de l'AMRAE que seules 8% des entreprises de taille intermédiaire ont souscrit une assurance cyber. La difficile adéquation entre offre et demande se ressent sur le ratio combiné (sinistres sur primes). Si le volume de primes a augmenté de 49% en 2020, le montant des indemnisations versées, a, lui, été multiplié par 3 (à 217 millions d'euros en 2020), soit un ratio combiné qui est passé de 84 % en 2019 à 167 % en 2020. En résumé, les assureurs perdent de l'argent sur ce type de contrats.

En outre, selon plusieurs témoignages, le montant des garanties proposées par les assureurs sur ce type de contrat baisse sensiblement depuis six mois. Reste à savoir si avec le nouveau texte, les assureurs et les entreprises françaises pourraient faire du paiement de la cyber-rançon un levier pour dynamiser le marché.

8 mn

Sujets les + lus

|

Sujets les + commentés

Commentaire 0

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.