L’assurance contre les cyberattaques cherche son modèle

Bertrand De Meyer
Les assureurs incitent parfois à payer les demandes de rançons des pirates en indemnisant les entreprises. Une méthode moins coûteuse que le remboursement des dégâts.

Bouygues Télécom, qui parie sur une jeune pousse pour développer sa cybersécurité industrielle, rappelle les défis auxquels les entreprises font face dans ce domaine. Selon le dernier rapport de l’assureur spécialisé Hiscox, 43% des entreprises de sept pays européens étudiés et des Etats-Unis ont été ciblés par des cybercriminels en 2020. Un pourcentage en hausse de 5 points. En France, presque la moitié des entreprises a fait l’objet d’une cyberattaque en 2020 (49%), contre seulement 34% en 2019. Seule l’Espagne fait pire, avec 53% d’entreprises confrontées à une attaque.

L’étude menée auprès de 6.042 entreprises révèle que les dépenses moyennes par entreprise en matière de cybersécurité ont plus que doublé au cours des deux dernières années pour atteindre plus de 20% du budget des départements informatiques. Dans l’Hexagone, elles ont ainsi progressé de 13% à 20%. Mais l’adoption d’une cybercouverture autonome a stagné, passant de 26% à 27% au total.

En particulier, la France arrive sur le podium du pourcentage des entreprises ayant payé une rançon quand les pirates le demandaient. Derrière les Etats-Unis et L’Allemagne, égalité à 21%, 19% des entreprises françaises ont payé des rançons en 2020. Un chiffre qui fait écho à la récente audition devant le Sénat mi-avril de Johanna Brousse, chargée de la section cybercriminalité du parquet de Paris et Guillaume Poupard, le directeur général de l’agence nationale de la sécurité des systèmes informatiques (Anssi).

Jeu trouble des intermédiaires

La vice-procureure a ainsi déploré qu’en France l’on paye «trop facilement les rançons», visant notamment les assureurs qui «garantissent trop souvent le paiement des sommes exigés par les cybercriminels».  Une raison qui explique, selon elle, que la France monte sur le podium. La cadre juridique français n’interdit toutefois pas le paiement des rançons, dont le débat sur une potentielle interdiction revient parfois sur le devant de la scène. Guillaume Poupard a lui critiqué «le jeu trouble» des intermédiaires, soulignant qu’il est souvent préférable économiquement pour les acteurs de payer ces rançons que de dédommager les dégâts causés pour les entreprises. Il appelle à un « travail de fond pour casser ce cercle vicieux autour du paiement des rançons».