Pourquoi le paiement des rançons cybers est une grave erreur ?

Pourquoi le paiement des rançons cybers est une grave erreur qui sera nuisible pour les assureurs et les assurés.

En octobre 2022 a été adopté au Sénat le Projet de loi d’orientation et de programmation du ministère de l’intérieur. On y retrouve en son sein un article 4 portant sur le remboursement par les assurances des rançons payées par les victimes de cyberattaques et notamment des victimes de ransomware. 
 

Mais que signifie vraiment la promulgation d’un tel article ? Ne faut-il pas le voir comme la porte ouverte vers une menace pour les assureurs et assurés ? 

De quoi parle-t-on ? 

Un constat glaçant établi par l’Agence de cybersécurité européenne a évalué à 10 milliards d’euros l’empoche des gangs de ransomware en 2019. 

Face à l’accroissement de ce type de pratiques et aux montants des rançons demandés par les cyber attaquants, l’Etat cherche à apporter une réponse dans l’intérêt des victimes de ces pirates. Ces infractions ne sont pas nouvelles mais l’émergence de différents facteurs ces dernières années les ont rendus plus visibles et plus destructrices.   

Ces prises d’otages numériques, mises en place par les pirates généralement depuis l’étranger, amènent à rendre des données inaccessibles en immobilisant serveurs et ordinateurs, puis à demander une rançon pour les déverrouiller. Les entreprises ou administrations publiques (généralement premières victimes de ce type d’attaques) sont alors contraintes de payer par peur de perdre leurs données sensibles ou de les voir diffuser. 

Aucune entité n’est épargnée. En effet, des entreprises comme Ebay ou Ubisoft ont déjà été victimes de ces pratiques, tout comme certains hôpitaux, qui dernièrement ont vu leurs serveurs piratés et immobilisés pendant plusieurs mois. 

Les intérêts de ces groupes de pirates sont motivés par les gains financiers très élevés. Ils sont évidemment conscients que la victime devra, pour s’en sortir, payer la rançon, généralement en crypto monnaie. Selon la dernière édition du Crypto Crime Report de Chainalysis, les ransomware ont rapporté près de 457 millions de dollars aux cybercriminels en 2022
 

Que fait le Gouvernement ? 

La question qui se pose alors est de savoir si le gouvernement français a mis en place des actions pour lutter contre ces infractions de cybercriminalité. 

Selon certains, il semble prendre conscience de l’ampleur de la menace qui pèse sur ses institutions et sur l’économie du pays. 
 

Le problème reste que, bien que L'Etat doive jouer un rôle de protection des citoyens, des institutions et des entreprises, dans le monde cyber, chacun se retrouve en première ligne. 

Tout d’abord, d’un côté, on observe une hausse du budget consacré à ce sujet depuis quelques années. L’Etat investit de plus en plus dans des mesures tant préventives que répressives pour lutter contre l’infraction de ransomware. 

Au sens préventif, des réunions comme celles de sensibilisation sur la protection des données numériques sont organisées par le Secrétariat général de la Défense et de la Sécurité nationale (un service sous l’autorité du Premier Ministre). 

D’autre part, des services de l’Etat comme l’Agence Nationale de la Sécurité des Systèmes d’Information ont été créés pour traquer différentes informations, par exemple pour agir en période électorale. Cette agence agit entre autres lorsque les attaques touchent le secteur public ou des entreprises sensibles. 

Enfin, le projet de loi adopté fin 2022 a inséré un nouvel article dans le code des assurances. Selon les dispositions de l’article L. 12-10-1 nouveau, “le versement d’une somme en application d’une clause assurantielle visant à couvrir le paiement d’une rançon par l’assuré dans le cadre d’une extorsion prévue à l’article 312-1 du code pénal, lorsqu’elle est commise au moyen d’une atteinte à un système de traitement automatisé de données prévue aux articles 323-1 à 323-3-1 du même code, est subordonné à la justification du dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard 48 heures après le paiement de cette rançon”. 

Ce remboursement est donc désormais uniquement conditionné par un dépôt de plainte par la victime de ransomware. En outre, la plupart des contrats de cyber assurance en matière de cyber délinquance prévoient le remboursement du paiement des frais de rançon et des dépenses connexes.

Les effets pervers du dispositif fixant l’indemnisation des rançons
 

Bien que des efforts notables puissent être relevés quant à l’action de l’Etat dans cette lutte contre la cybercriminalité, certaines critiques sont indéniables concernant l’encouragement du paiement des rançons par les organismes victimes. 
 

Pour commencer, on ne peut pas dire que le paiement d’une rançon aux pirates résolve le problème. On note qu'environ 40% des entreprises ayant subi une attaque ransomware en 2022 ne récupèrent pas ou pas toutes leurs données, selon le Rapport Hiscox 2022 sur la gestion des cyber-risques et ransomware. 

Deuxièmement, le paiement d’une rançon ne garantit en aucun cas que l’organisme victime ne fera plus l’objet d’une prochaine attaque. Il a été relevé que 36% des entreprises ayant payé une rançon à des cybercriminels ont été ciblées une deuxième fois, selon le même rapport. 
 

D’autre part, plus les entreprises sont encouragées à payer la rançon demandée (ce qui est le cas par la prise en charge du paiement par une cyber assurance), plus les cybercriminels sont encouragés à commettre d’autres piratages informatiques. De cela découle également une réelle augmentation du montant des rançons, pouvant parfois atteindre plusieurs millions de dollars pour une seule entreprise. 
 

Par ailleurs, la mise en place d’une clause assurantielle qui couvre le montant de la rançon n’incite pas les entreprises à bien se protéger. Incontestablement, ces dernières sont découragées à mettre en place un système de protection de leurs systèmes à partir du moment où elles savent que la potentielle rançon serait remboursée par l’assurance en cas d’attaque. L'installation des systèmes sécurisés anti piratage coûte en effet sensiblement plus cher qu’une police d’assurance cyber. 

Ainsi, la seule solution qui semble la plus viable est la prévention des attaques ransomware. Les entreprises et autres organismes qui utilisent des données sensibles doivent s’armer et ainsi mettre en place de réels systèmes de sécurité, ou encore de logiciels anti virus. Il leur faut également faire une sauvegarde régulière de leurs données, ainsi que procéder à la sensibilisation de leurs employés aux techniques de phishing.
 

Une assurance cyber comporte un volet prévention, primordial mais parfois délaissé par les distributeurs de ce produit, notamment les courtiers. Une assurance cyber qui ne couvre pas la rançon est donc beaucoup plus axée sur la prévention et oblige les courtiers distributeurs à monter en compétence et en gamme sur ce volet substantiel. 

Ce sont donc les mauvaises raisons qui ont conduit les assureurs à militer en faveur de cette législation. Le ransomware explose et met donc en danger également les fonds propres des assureurs qui devront payer les rançons.  C'est une des raisons pour lesquelles chez Coover, nous n'orientons pas nos clients vers ces polices d'assurance. 

Conclusion 
 

L’assurabilité du paiement des cyber-rançons met en danger assurés et assureurs. Côté assureurs, puisque le remboursement des rançons n’est conditionné qu’au dépôt d’une plainte par les victimes dans les 48h après le paiement de la rançon, les assureurs risquent d’être amenées à payer des montants astronomiques. Pour parer à ça, les contrats risquent de contenir de nombreuses exclusions. 
 

Côté assurés, elles découragent la mise en place de mesures préventives, ou des contrats qui ne pourront pas être activés en cas de sinistre.