kaptn - Fotolia
Ransomware : le sujet tout sauf consensuel de l’industrie de l’assurance
Certains assureurs ne se cachent pas de proposer à leurs clients de rembourser le paiement de rançons. D’autres s’y refusent fermement. Le clivage apparaît profond.
Le message est régulièrement répété : il ne faut pas payer la rançon demandée par les cyber-déliquants en cas d’infection par ransomware. Les experts le répètent à l’envi, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) également. Mais dans la pratique, beaucoup paient.
Selon une étude d’IBM aux Etats-Unis, l’an dernier, près de 50 % des patrons ont été confrontés à un rançongiciel, et 70 % d’entre eux ont payé. Au total, 60 % des chefs d’entreprise sondés ont assuré qu’ils seraient prêts à payer la rançon demandée.
Ces chiffres renvoyaient à d’autres, publiés à l’automne 2016 par Trend Micro. Selon ceux-ci, près de la moitié des DSI français affectés paient la rançon demandée. Et dans 40 % des cas, la raison en est simple : le montant réclamé – 638 € en moyenne – s’avère « suffisamment bas pour être absorbé dans les coûts d’exploitation ».
Des paiements bien réels
Mais il faut aussi compter avec des paiements cachés : ceux de salariés dont le poste de travail a été piégé par un rançongiciel, et qui préfèrent payer de leur poche, que ce soit par inquiétude pour des données personnelles, ou par embarras, voire honte. Selon une étude d’Intermedia, cela vaut pour 59 % des employés qui ont été affectés.
Dans ce contexte se pose la question de l’assurabilité du ransomware. Elle est loin d’être nouvelle et apparaît particulièrement clivante. Generali nous a indiqué ne pas prendre en charge le paiement des rançons. Il n’est pas seul dans ce cas, mais tous les assureurs ne l’entendent pas de cette oreille.
Bonjour Valery, Generali Protection Numérique ne prend pas en charge le paiement des rançons. En revanche, nous couvrons les frais engagés pour les opérations de remédiation en cas de ransomware (éradication du malware).
— Generali France (@generalifrance) November 8, 2017
CCAL indique ouvertement couvrir le paiement de rançon « en cas de cyber-extorsion », de même que Galian, CyberContract, Assureurs Associés, ou encore Barbin Associés Assurances. En 2015, il fallait déjà compter avec AIG, Axa, Beasley, Hiscox, et QBE.
Directrice technique de la souscription chez Hiscox, Astrid-Marie Pirson reconnaît des « divergences » sur le marché, et souligne l’absence de position officielle des régulateurs assurantiels. L’Amrae n’en a pas plus, et la Fédération française de l’Assurance n’a pas répondu à notre sollicitation.
La voie du pragmatisme
Dans ce contexte, Astrid-Marie Pirson revendique une approche pragmatique : « si on ne couvre pas, on ne couvre pas un risque réel et massif pour les petites et moyennes entreprises. Ce serait les laisser tous seuls. Et cela n’a aurait aucun sens d’engager des centaines de milliers d’euros de frais alors que la rançon va en coûter mille cinq cents ».
Mais il y a plus : « une entreprise à qui on explique que l’on va engager des sommes importantes pour lui éviter de verser la rançon, et que cela va affecter sa prime d’assurance, in fine, elle peut penser que son intérêt consiste à payer »… Et c’est sans compter avec les situations où le temps joue un rôle clé.
Tout sauf un blanc-seing
Pas question pour autant de prendre le risque d’encourager les cyber-délinquants dans la voie du rançonigiciel : « tout le monde a le droit à l’erreur une fois », mais si les prises en otage de fichiers venaient à se répéter chez un client sans que celui-ci n’ait cherché à renforcer sa protection… l’assureur se montrerait probablement circonspect, souligne Astrid-Marie Pirson. Car « une fois que l’attaquant sait que vous payez, il va revenir ». Donc il convient de se protéger, encore mieux. Et il relève bien sûr de la responsabilité des entreprises de mettre en place les mesures préventives qui s’imposent, comme pour la couverture de n’importe quel autre risque.