Depuis deux semaines, l’ANSSI et le Parquet de Paris mettent en cause les assureurs qui proposent une garantie couvrant les rançongiciels. Selon eux, cette prise en charge des sommes exigées par les cybercriminels inciterait à la multiplication des attaques contre les entreprises.
Les rançongiciels en France : faut-il vraiment blâmer les assureurs ?
D’après le Cesin (Club des experts de la sécurité de l’information et du numérique), 19 % des entreprises françaises ont été victimes d’une attaque par ransomware au cours de l’année écoulée.
Et selon un rapport publié par Hiscox, près de deux tiers d’entre elles ont accepté de payer la rançon pour reprendre leurs activités.
Les autorités pointent du doigt la complaisance face aux pirates
Il y a deux semaines, lors d’une audition au Sénat, l’ANSSI (Agence nationale de la sécurité des systèmes informatiques) et le parquet de Paris ont reproché aux acteurs de la cybersécurité – notamment les assureurs – leur propension à rembourser trop facilement les rançons.
Selon eux, cette pratique alimente directement le phénomène :
« Si la France est autant ciblée par les rançongiciels, c’est parce que nous payons trop facilement. En cédant, nous encourageons les hackeurs à s’attaquer à notre tissu économique, persuadés que les Français paieront. »
En réaction, AXA France a annoncé ce lundi la suspension de la couverture des rançons dans ses contrats de cybersécurité. Une décision symbolique, même si la loi n’interdit toujours pas cette garantie.
Les assureurs sont-ils vraiment responsables ?
Pour Arnaud Gressel, courtier spécialisé en risques Sûreté et Cyber chez RESCO Courtage et intervenant à l’IHEMI, la responsabilité ne doit pas être imputée aux assureurs.
« Les remboursements de rançons représentent une part infime des sinistres. En réalité, ce sont surtout les entreprises non assurées qui finissent par payer. Quand une société dispose d’une assurance cyber, un dispositif de crise se met en place en moins de deux heures. »
Le spécialiste reconnaît néanmoins que le paiement d’une rançon peut rester un dernier recours :
« L’assureur fait tout pour éviter ce scénario, et les autorités ont raison : il faut éviter de payer. Mais si l’entreprise est au bord de l’asphyxie, cela peut devenir une question de survie. Et ce n’est pas une solution de facilité : il faut ensuite déchiffrer les serveurs, vérifier les postes, restaurer l’activité… Ce sont des coûts considérables. »
Le vrai problème : la coordination de la lutte contre les rançongiciels
Arnaud Gressel souligne que le cœur du problème réside ailleurs :
« On parle de millions d’euros détournés puis blanchis. C’est sur ce terrain qu’il faut concentrer les efforts. Les assureurs ne sont pas la cause du problème. La priorité, c’est la prévention et la gestion de crise. »
Selon lui, le paiement d’une rançon doit rester une possibilité exceptionnelle, prévue dans les contrats, mais réservée aux cas extrêmes :
« Si cette option disparaît, certaines entreprises n’auront tout simplement pas les moyens de se relever après une attaque. »
En somme, pour ce courtier, le rôle des assureurs n’est pas de payer, mais d’accompagner les entreprises, renforcer leur résilience et limiter le risque d’exposition. Le paiement d’une rançon ne doit jamais être une stratégie — seulement une ultime alternative, quand la survie même de l’entreprise est en jeu.
Leave a Reply