• La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Une du journal La Tribune

Dernière édition

Flèche menu déroulant
Newsletters
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat

Sélectionnez votre région

Logo La Tribune

RECHERCHER

Loupe

LTD
La Tribune Dimanche
Ouvrir dans une nouvelle fenêtre
Air&Cosmos icon
Air&Cosmos
Ouvrir dans une nouvelle fenêtre

À la une
  • Finances publiques
  • Fiscalité
  • Immobilier
  • Consommation
  • Distribution
  • Politique internationale
  • Finances personnelles
  • Banque & assurances
  • Marchés financiers
  • Intelligence artificielle
  • High tech
  • Télécoms
  • Start-up
  • Énergie
  • Politique industrielle
  • Chimie & pharmacie
  • Automobile
  • Mobilités
  • Aéronautique
  • Défense
  • Spatial
  • Environnement
  • Agriculture & agroalimentaire
Idées & débats
Kiosque numériqueNewsletters
La Tribune DimancheLa Tribune AfriqueAir&Cosmos
  • La Tribune Now
  • Votre argent avec Finance Héros
  • Construire les mobilités de demain
  • Fonction Finance 2.0 avec Cegid
  • Transformations durables avec Forvis Mazars
  • Accélérer avec le Cloud par AWS
  • Fisher Investments
  • Au coeur du business
  • VisionAir avec Bpifrance
  • Adaptabilité permanente : Le pouvoir d’agir avec IBM Consulting
  • Succès d'entreprises avec Deloitte
  • L'Œil sur vos Finances
  • Les Rencontres de Roissy Meaux Aéropôle
  • France Travail accompagne le Salon des Maires
  • La CCI Paris Ile-de-France, le réflexe des entrepreneurs
  • #La Tribune Business Interviews
  • #La Tribune Business Dossiers
  • #La Tribune Business TV
  • Instant Sélection
Événements
OpinionsTribunes

Augmentation des primes d'assurances cyber : les assureurs s'y retrouvent-ils ?

Jean-Jacques Quisquater et Charles Cuvelliez

Publié le 22 avril 2022 à 08:42 - Mis à jour le 22 avril 2022 à 09:07

Composite, Quisquater, Cuvelliez,

Jean-Jacques Quisquater et Charles Cuvelliez.

DR

Le Quotidien Numérique

18 juillet 2026

Photo d'illustration de l'article
LireS'abonner

Les plus lus

  • 1

    Incendies : Positive Aviation franchit une étape décisive pour transformer un ATR en alternative au Canadair

  • 2

    Moyen-Orient : la guerre du détroit aura bien lieu

  • 3

    Pétrole : le Panama va prendre la main sur un oléoduc, « l'une des infrastructures stratégiques les plus importantes du pays »

  • 4

    Cyclisme : du changement dans la direction de l'équipe de Paul Seixas

  • 5

    Saturation du réseau électrique : 2 500 producteurs d’énergie renouvelable dans l’attente de solutions de raccordement

  • 6

    « L'effort concerne tout le monde » : David Amiel, ministre des Comptes publics, alerte sur le budget

Régions

  • Auvergne-Rhône-Alpes
  • Bourgogne-Franche-Comté
  • Bretagne
  • Centre-Val de Loire
  • Corse
  • Grand Est
  • Hauts-de-France
  • Île-de-France
  • Normandie
  • Nouvelle-Aquitaine
  • Occitanie
  • Pays de la Loire
  • Provence-Alpes-Côte d'Azur

La Tribune +

  • Espace abonné
  • Kiosque numérique
  • Annonces légales
  • Déposer vos annonces légales

Services

  • Supplément
  • La Tribune now

Evénements

  • ACT50
  • Aéroforum
  • AIM
  • Bordeaux Solar Summit
  • Family & Business Forum
  • Forum Europe Afrique
  • Impacts Santé
  • Les Lauréates
  • Paris Air Forum
  • Sommet Aéronautique & Spatial de Bordeaux
  • Sommet Économique de la Corse
  • Tech For Future
  • World News Media Congress
  • Tous nos événements en régions

Pour gérer vos consentements,

Suivez-nous sur les réseaux sociaux

YouTube
LinkedIn
Facebook
Instagram
X

Application mobile

App Store
Google Play

  • Nous Contacter
  • Charte d'indépendance et de déontologie
  • Mentions Légales
  • CGU
  • CGU Pro
  • Gestion des cookies
  • Exercez vos droits
  • Politique de confidentialité

Droits de reproduction et de diffusion réservés @LaTribune

Partenaire digital de confiance - Certification de qualité
  • La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Google icon
Ajouter La Tribune à vos sources préféréesAjouter La Tribune à vos sources préférées
OPINION. Faut-il ou non payer la rançon en cas de rançongiciel? La réponse est quasi affirmative, selon les autorités, ce qui soulève quelques questions, notamment en terme d'assurance. Par Jean-Jacques Quisquater, Ecole Polytechnique de Louvain, Université de Louvain et MIT, et Charles Cuvelliez, Ecole Polytechnique de Bruxelles, Université de Bruxelles.

C'est un résultat surprenant de l'augmentation continue des primes d'assurance pour couvrir les cyberattaques : le ratio des sinistres cyber remboursés sur le total des primes payées s'est amélioré en 2021 par rapport à 2020 : il est passé de 72 % à 65 %, aux Etats-Unis.

C'est l'agence Fitch qui a fait cette annonce . Ainsi donc, pour 100 dollars de primes payées, les assureurs ont remboursé 65 dollars aux sociétés victimes de cyber attaques.

Avec 65 %, on pourrait se dire que la marge des assureurs reste impressionnante : rien n'est moins sûr. Ce ratio ne tient compte que des déclarations qui ont amené un remboursement. C'est un ratio brut. Il ne prend pas en compte les coûts de fonctionnement de l'assureur ni tous les frais associés à la gestion des couvertures. Il s'agit aussi d'un ratio global : les assureurs qui ont comme clients des industries plus souvent frappées par des cyber-attaques ne doivent pas en mener large. Et puis, on reste encore loin des 48 % entre 2015 et 2019.

Pour arriver à cette baisse du ratio, il aura aussi fallu une augmentation des primes de 74 % pour assurances cyber. Cette augmentation est même de 92 % pour les assurances cyber autonomes. Celles-ci deviennent la norme car les assureurs veulent sortir les cyberattaques des couvertures globales des entreprises pour qu'elles ne soient plus un risque silencieux et sournois. En comparaison, les primes des assurances classiques accidents, vols, incendies n'ont augmenté que de 9 % en 2021.

Les autorités semblent également résignées  à autoriser le paiement des rançons : le projet de loi d'orientation et de programmation déposé le 16 mars 2022 le montre car l'article 5  exige un dépôt de plainte par toute entreprise qui aura payé la rançon... Donc, payer la rançon ne va pas être interdit par une autre loi...

Newsletter

Ma Tribune

L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Illustration de la newsletter Ma Tribune

Si le projet de loi autorise indirectement le paiement d'une rançon, c'est qu'il ne peut pas être une infraction pénale : le paiement se fait en effet sous contrainte. Mais, comment doit réagir la victime si elle sait que cette rançon servira à financer le terrorisme ? Si l'assureur s'en mêle, ce dernier devient même complice. Le blanchiment d'argent, ne pourrait pas être invoqué par contre puisque l'argent de la rançon vient de la victime. Il en va de même du (non)-respect des régimes de sanctions éventuels envers les pays d'origine des pirates :  ces derniers cachent leur origine via des adresses internet fictives.

On peut donc assurer les rançons avec une réserve, dans le cas où elle sert à alimenter le terrorisme mais c'est quasi impossible à le savoir, explique le Haut Comité Juridique (HCJ) de la place financière de Paris dans une analyse publiée récemment (rapport sur l'assurabilité des risques cyber) qui analyse les vrais impacts du paiement d'une rançon.

Ethique

Si rien n'interdit légalement le paiement d'une rançon, on en est réduit à l'éthique pour trancher. On entend dire que le paiement d'une rançon favorise l'écosystème des rançongiciels et augmente le risque d'attaque. Le fait de savoir que les entreprises sont couvertes par une cyber-assurance, surtout si c'est publié dans un rapport annuel, attirerait les attaques.

On dit aussi, explique le HCJ, que le remboursement des rançons par les assureurs n'inciterait pas les entreprises à mieux se protéger. Payer fragiliserait l'entreprise puisqu'on saura qu'elle a déjà honoré une rançon et serait sans doute prête à l'honorer encore une fois. Elle attire d'autant plus les rançongiciels.

Payer les rançons, enfin, mettrait à mal la lutte contre le financement du terrorisme et l'application du régime de sanctions.

Mais le haut comité n'y croit pas.  Quand une société est vraiment en danger, elle paiera la rançon même si l'assureur n'intervient pas. Ce n'est pas l'assurance qui est la cause des rançongiciels. Le taux de pénétration des assurances cyber reste très faible, pas celui des ranongiciels. Les assureurs, lorsqu'ils acceptent de couvrir une entreprise, exigent des mesures de sécurité à niveau (authentification multi-facteurs, détection sophistiquée sur les machines dans le réseau, prises de sauvegardes des données et de la configuration du réseau soigneusement isolées ensuite, présence d'un plan de réponse aux incidents à tester régulièrement, entrainement du personnel à détecter ne fût-ce que l'hameçonnage...). Leur intervention a des effets bénéfiques. Le HCJ a raison. Le prix plus ou moins élevé des franchises ou des primes pourrait être subordonné au niveau de préparation cyber des entreprises. Ce sera un autre incitant.

Une interdiction de couvrir les rançongiciels est même contreproductive, dit le haut comité car elle n'incitera plus les entreprises à se couvrir (puisque le risque principal est exclu). Ce n'est pas sain. Ceci dit un prix trop élevé des assurances cyber aussi !

Les assureurs n'encouragent pas, non plus, à payer la rançon car il y a des risques liés au paiement (risque de seconde attaque, risque de non-récupération des données chiffrées malgré tout, ce qui fera payer l'assureur une deuxième fois, risque de corruption des données,). Les assureurs et les experts qui les assistent ont tout intérêt à proposer/exiger des solutions alternatives comme les sauvegardes.

Quant au financement du terrorisme, si un organisme européen existait pour lister toutes les organisations terroristes, l'assureur pourrait décider en connaissance de cause de payer ou pas la rançon. Cet organisme est en voie de création dans le cadre d'un paquet législatif de la commission pour renforcer la lutte contre le blanchiment et le financement du terrorisme.

A l'étranger

La situation à l'étranger est comparable à la France : les Etats-Unis ont juste émis une mise en garde contre le paiement de rançons auprès d'entités dites sanctionnées, à savoir des pays sous le régime de sanctions (Crimée, Cuba, Iran, Corée du Nord et Syrie et désormais la Russie). Comme les Etats-Unis appliquent l'extra-territorialité, ces restrictions s'appliquent aux citoyens américains, aux résidents permanents américains, aux entités américaines et à leurs filiales hors Etats-Unis et aux entreprises ayant une filiale aux Etats-Unis (cela fait du monde !). Comme les Etats-Unis, la plupart des pays n'interdisent pas le paiement des rançons. L'Allemagne refuse simplement que le paiement de la rançon soit le seul objet de l'assurance.

Acte de guerre ou pas ?

Dernière question tranchée par le HCJ est l'acte de guerre invoqué pour refuser le paiement de la rançon : le rançongiciel est souvent conçu par des hackers de pays comme la Russie. Sont-ils pour autant des agents militaires russes ? Une attaque cyber n'est pas un acte de guerre à moins d'être massive. Un acte de guerre est par définition un évènement de grande intensité au niveau des dommages sur des biens ou des infrastructures. Or une cyberattaque qui frappe une entreprise ne détruit rien mais perturbe le fonctionnement. Il faudrait alors définir une guerre en affinant le seuil de dommages qui s'applique (mise hors service d'un secteur entier qui paralyse l'économie).

Payer la rançon ne doit pas être le plan A au risque de devenir un risque impossible à couvrir avec le temps. Il en va des rançongiciels comme de toute forme de criminalité : follow the money est la bonne tactique. C'est en tarissant les possibilités de financement, en les pistant, qu'on rendra cette criminalité moins intéressante.

Jean-Jacques Quisquater et Charles Cuvelliez

Sur le même sujet

Sanjay Pulipaka

OPINION. « Souveraineté numérique : l'Europe ne peut plus se contenter de réagir aux ingérences »

Idées & Débats
Sébastien Boussois

OPINION. « Meloni, Takaichi : une nouvelle droite féminine décomplexée au pouvoir »

Pendant des décennies, l’arrivée des femmes aux plus hautes responsabilités a été accompagnée d’une promesse implicite : elles introduiraient une politique plus douce, plus consensuelle, plus horizontale et plus sensible. Comme si l’autorité, la puissance et l’affirmation de l’intérêt national étaient nécessairement des attributs masculins et qu’il fallait desormais tout autre chose pour réussir en politique.

Idées & Débats
Bertrand Piccard

OPINION. « ETS et long-courriers : l’Europe ne doit pas rater l’embarquement »

Alors que la Commission européenne s’apprête à réviser son système d’échange de quotas d’émission (SEQE), l’une des questions importantes qui se posent est de savoir si les vols internationaux doivent rester en dehors du système ou y être enfin intégrés.

Idées & Débats
Gabriel Gaspard

OPINION. « Présidentielle 2027 - dette publique : faut-il changer de paradigme ? »

Les signaux de la Cour des comptes sont tous alarmants. Le débat sur l'endettement de la France enflamme la présidentielle. La dette devient-elle hors de contrôle ? Faut-il des solutions douloureuses ou une vraie alternative à nos finances publiques ?

Idées & Débats
agir

OPINION. « Redonner aux jeunes le pouvoir d’agir : quand entreprendre remet en mouvement »

Par les 25 membres du collectif Entr&prends ton Avenir et 13 représentants de l’écosystème associatif de la jeunesse.

Idées & Débats
Julien Chaverou

OPINION. « Pour un pacte de soutien a l’ameublement français et europeen »

La France et l’Europe ont une histoire longue et remarquable dans le secteur de la décoration et de l’ameublement. Les trois dernières décennies ont changé radicalement les méthodes, les moyens et les habitudes. Aujourd’hui, comme dans la mode, il y a ce sentiment étourdissant que, soudain, tout s’écroule.

Idées & Débats
Amaury Goguel

OPINION. « Et si les grilles d’analyse des Institutions Financières Internationales alimentaient les polycrises ? »

La décision est passée presque inaperçue. Pourtant, en septembre 2025, Pékin a provoqué un véritable séisme silencieux dans la gouvernance mondiale en renonçant officiellement à son statut de « pays en développement » à l’Organisation mondiale du commerce.

Idées & Débats
Sarah Bagnon-Szkoda

OPINION. « CSRD : le reporting de durabilité entre dans son âge de raison »

La CSRD a d’abord été perçue comme une contrainte. Une norme de plus, venant s’ajouter à un environnement réglementaire déjà dense. Sa mise en œuvre a souvent été vécue comme un chantier lourd, technique, coûteux, déployé dans des délais serrés par des entreprises déjà saturées par les obligations de reporting.

Idées & Débats