Les assureurs du risque cyber réagissent aux critiques concernant le paiement des rançons

Bertrand De Meyer
Axa a mis en suspens sa garantie cyberrançonnage. Les acteurs, qui suivent des stratégies différentes, s’accordent sur une nécessaire évolution réglementaire.
REA

Les critiques émises à l’encontre des assureurs cyber français ne sont pas restées lettre morte. Concentrées sur une accusation d’incitation au paiement des rançons, elles ont motivé la suspension de la garantie optionnelle cyberrançonnage d’Axa France lundi. Une garantie qui avait été rajoutée en 2020 après la création du produit de l’assureur en 2014.

La décision vient mettre la lumière sur les différences de pratiques sur le marché, qui pèse 130 millions d’euros en 2020. Generali, qui a lancé son produit en 2017, n’a jamais payé de rançon. «Nous ne voulons pas alimenter un système délinquant. D’autant plus que le paiement d’une rançon ne garantit en rien la libération des données ni la disparition du virus qui pourrait être réactivé», explique Bernard Duterque, directeur souscription des risques spécialisés chez Generali France. Au contraire, la branche française d’Hiscox, assureur spécialisé anglo-saxon, le fait, dans une logique de différence de culture. L’assureur ne compte pas modifier sa politique, à l’image d’autres acteurs du marché qui n’ont pas souhaité s’exprimer publiquement sur ce sujet délicat.

Une clarification demandée

La décision d’Axa n’est toutefois que temporaire, justifiée par les critiques qui trouvent leur essence en l’absence d’un cadre clair : «Il est primordial que les pouvoirs publics concrétisent leur position sur ce sujet afin de permettre à tous les acteurs de marché de jouer pleinement leur rôle», explique une porte-parole d’Axa. La Fédération française de l’assurance (FFA) rappelle ainsi que le paiement d’une rançon ne constitue en rien une infraction. Tous s’accordent sur ce même point : «Personne ne souhaite aboutir au paiement des rançons, le préalable est de créer un écosystème de la cybersécurité et d’avoir encore plus de cerveaux et de bras, qui manquent pour le moment, tant le besoin est grand pour préparer et défendre nos entreprises», indique Frédéric Rousseau, responsable de marché cyber chez Hiscox France. «Une évolution réglementaire serait la bienvenue», continue Bernard Duterque.

La clarification demandée concernant l’assurabilité des rançons pourrait intervenir bientôt, la direction générale du Trésor ayant demandé un rapport «pour travailler sur le sujet et aboutir à des recommandations». «Les assureurs conduisent des investigations et diligentent des experts afin de vérifier que l’utilisation de cette rançon n’alimente pas le financement du terrorisme», rassure déjà l’organisation.
Une politique de prévention et d’acculturation aux risques

«Les produits restent techniques», reconnaît Bernard Duterque. Les produits d’assurance cyber sont organisés autour de deux pôles. Le premier concerne un gros volet assistance ou service qui consiste globalement à aider les clients en cas d’attaques cyber. Le second un volet dommages subis, comprenant dans certains cas un système de paiement des rançons demandées et les indemnisations de sinistres engendrés par l’arrêt de l’exploitation, et un volet dommages au tiers. Mais un autre problème majeur est pointé du doigt : «Les clients nous répondent souvent qu’ils se considèrent trop petits pour être intéressants pour un hacker alors que les PME représentent plus de 50% des entreprises visées.»

Une acculturation au risque qui s’accompagne d’une nécessaire politique de prévention : «Toute l’assistance consiste à éviter cette finalité (paiement des rançons), en s’appuyant notamment sur le triptyque contrôle des accès efficace, sécurisation de la sauvegarde et surveillance/résilience du système informatique», défend Frédéric Rousseau. Par exemple, «la France rattrape son retard en termes d’investissement dans la sécurité informatique, toutefois il reste encore à insister sur la formation des personnes, 65% des attaques de ransomware proviennent de phishing.»