- Le blog et les actualités de Witik
- Les cyber assurances et les ransomwares
Cyber assurances et ransomwares : Comment se protéger efficacement ?
Pourquoi des cyber assurances ?
Les avancées technologiques et la recrudescence des cyberattaques ont fait naître de nouvelles protections pour les entreprises. L’assurance cyber s’est implantée avec le développement de nouveaux risques de cybersécurité dont les entreprises peinent à se protéger. En effet, la France est le pays le plus touché par les cyberattaques en Europe et également le pays qui paye le plus de cyber-rançons.
Le sujet des cyber-rançons est depuis longtemps au cœur de débat houleux, les assurances ont connu de grandes réticences à les indemniser face aux positions des agences publiques.
Partant de ce postulat, les autorités ont décidé d’encadrer la réglementation de l’assurabilité des cyber-rançons, dans le contexte critique de la lutte pour la protection des données.
Récemment, c’est le Sénat qui a adopté, dans le cadre de la loi d’orientation et de programmation du ministère de l’Intérieur, une nouvelle disposition qui encadre enfin l’indemnisation des ransomwares.
La cyber assurance : qu’est-ce que c’est ?
C’est une police d’assurance qui vise à couvrir les entreprises contre les dommages des cyberattaques.
Elle se compose de 3 axes :
D’abord, la couverture du risque propre des entreprises lors d’une cyberattaque (perte de revenu),
Ensuite, la réparation des dommages causés aux tiers,
Enfin, l’assistance aux entreprises lors des cyberattaques.
Toutefois, la cyber assurance ne dédouane pas les entreprises de leurs responsabilités en matière de cybersécurité. L’octroi d’une couverture est conditionné à une bonne maturité en la matière. En effet, les assureurs exigent que les entreprises aient déjà des prérequis tels qu’une bonne politique de sauvegarde, une sensibilisation du personnel, une sécurisation des accès à distance, une double authentification ou encore la mise en place d’un VPN. Pour obtenir cette couverture assurancielle, des audits sont effectués au préalable pour identifier quels sont les risques cyber auxquels l’entreprise pourrait être exposée vis-à-vis du système informatique en place.
Ces contrats sont négociés au cas par cas : l’assureur identifie les risques et les scénarios afin de mesurer le niveau de sécurité du système informatique et d’adapter son offre.
Aujourd’hui on évalue que 87% des grands groupes français disposent d’une cyber assurance alors que moins d’1% des TPE/PME sont assurées. Une disparité importante qui exprime un besoin considérable de protéger les entreprises les plus fragiles et de mieux encadrer le marché. Les cyberattaques ont en effet provoqué la fermeture de 60% des petites entreprises touchées dans les 6 mois qui ont suivi.
Néanmoins, les cyber assurances évoluent dans un marché plutôt tendu. L’ambiguïté qui plane autour de l’indemnisation des ransomwares en est une raison.
Un vide juridique qui a perduré sur le marché
Les cyber assurances ont toujours été présentées comme des leviers puissants pour appréhender les risques des cyberattaques mais parmi les principales garanties, l’indemnisation des cyber-rançons est sujet à de nombreuses controverses.
La question de la rançon au coeur des débats
Le ransomware est un « code » qui empêche les utilisateurs d’accéder à leur système ou à leurs fichiers personnels et exige le paiement d’une rançon pour en rétablir l’accès. Il est utilisé dans le but de paralyser toute l’organisation d’une entreprise pendant une durée qui peut être de quelques semaines à plusieurs mois.
Selon une étude du cabinet d’étude Vanson Bourne, 76% des entreprises victimes de cyberattaques admettent avoir payé une rançon.
Et pour cause, le paiement est perçu comme la solution la plus simple et la plus rapide pour reprendre son activité. En payant la rançon les entreprises espèrent reprendre le contrôle sur leurs systèmes informatiques et par conséquent reprendre leur activité au plus vite. En effet, le paiement de la rançon est souvent motivé par les coûts et la difficulté de reconstruction du système informatique qui est longue et laborieuse et dont le coût est souvent plus élevé que la rançon elle-même.
Cependant, si les entreprises refusent de payer la rançon, elles prennent le risque que leurs données soient diffusées sur internet et avec elles potentiellement les données personnelles de leurs clients.
Pendant plusieurs années, l’ANSSI (Agence Nationale de la Sécurité des Systèmes Information), ayant pour rôle de sensibiliser les organisations et les citoyens à une bonne culture de sécurité informatique, a eu une position très claire, celle de formellement déconseiller de payer les rançons.
Plusieurs auditions au Sénat et des rapports parlementaires ont d’ailleurs plaidé pour l’interdiction de l’indemnisation des ransomwares. Ces dernières étant considérées comme des pousse-au-crime contribuant à renforcer les activités cybercriminelles. En effet, en systématisant le paiement des rançons et leur indemnisation, la France deviendrait une cible privilégiée pour les cyberattaquants.
Or, ce que l’ANSSI et les principaux parlementaires préconisent est difficilement applicable dans la pratique. Dans ce cadre, il était nécessaire de réaffirmer une position claire sur l’indemnisation des ransomwares pour les cyber assurances.
De nouvelles propositions
La mise en place d’un groupe de travail et d’une consultation publique sur le sujet a permis de faire naître une nouvelle proposition. Il ressort de ces travaux que l’indemnisation d’une cyber-rançon devrait être conditionnée au dépôt de plainte de la victime dans un délai de 24h.
Ce procédé permettrait de renforcer l’accompagnement des victimes, mais aussi d’améliorer les opérations d’investigation des autorités de police, de justice et de gendarmerie.
Bercy s’est positionné sur cette même ligne et a proposé dans le cadre de la loi d’orientation et de programmation du ministère de l’Intérieur les mêmes dispositions.
“Ce projet de loi, qui s’appuie sur les travaux de notre groupe de travail, constitue un point d’équilibre entre la volonté de ne pas financer l’écosystème des cybers attaquants et la volonté d’éviter la mort de PME et TPE touchées par une attaque.” Le ministère de l’Économie.
Le Sénat a finalement adopté ce dispositif malgré plusieurs amendements qui s’y opposaient. Les rapporteurs précisent tout de même que la position dominante reste la même : il faut éviter de payer une rançon.
Or, la loi vise à encadrer l’indemnisation par les cyber assurances quand l’entreprise victime juge qu’elle n’a pas le choix d’y avoir recours, une décision qui n’a pas échappé aux cyber-experts qui ont vivement critiqué la disposition.
Pourquoi Bercy prend-il cette décision sur les cyber assurances ?
Le droit français ne prohibe pas explicitement l’assurabilité du paiement des cyber-rançons. Dès lors, ce phénomène d’assurabilité existait déjà et de nombreuses entreprises y avaient recours. D’autre part, certaines entreprises payaient déjà des rançons lorsqu’elles se faisaient attaquer et ne rédigeaient aucune communication sur ces attaques, pas même à l’adresse des autorités compétentes. Ces attaques étaient gérées en interne et sans aucune assistance.
Or, les autorités telles que l’ANSSI ont très peu de visibilité sur cette problématique. Elles disposent de peu d’informations sur le nombre réel de ransomwares, leurs impacts, les montants réclamés. Cela entraîne d’énormes difficultés pour aider les entreprises à affronter les cyberattaques et trouver des solutions pour se prémunir contre ce phénomène.
Le manque de données sur le taux de couverture et la sinistralité est un frein à l’évaluation des risques et au développement de l’assurance cyber.
Bercy souligne d’ailleurs le fait que si les entreprises françaises ne trouvent pas de solution de cyber assurance chez les groupes français, elles se tourneront inévitablement vers des groupes étrangers.
Une décision très critiquée
Cette décision n’a pas été bien accueillie par les spécialistes et par parlementaires. En effet, en légiférant sur l’indemnisation des cyber-rançons, ils craignent que la France soit victime d’une augmentation des cyber-rançons. La disposition est perçue comme une incitation au cyberterrorisme et à la cybercriminalité.
« Ce texte est un encouragement donné aux attaquants puisqu’il conforme leur modèle de rentabilité en prévoyant le financement par le paiement d’une rançon et en le garantissant par une procédure d’accompagnement » Olivier Cadic, Sénateur
De plus, cette solution ne serait pas la plus déterminante pour le sort des entreprises. En effet, selon une étude de l’entreprise Cybereason, 74% des sociétés françaises ayant payé une rançon ont été victimes d’une nouvelle attaque, moins d’un mois après la première. Une fois la rançon réglée, les pirates tentent une nouvelle fois de profiter de la vulnérabilité de la victime.
Plus inquiétant encore : si les deux tiers des entreprises ayant cédé au chantage ont pu récupérer leurs données, un tiers n’y est pas parvenu. Par ailleurs, l’expérience montre que l’obtention de la clé de chiffrement ne permet pas toujours de reconstituer l’intégralité des fichiers chiffrés. Certains fichiers sont modifiés et présentent de fortes chances d’être corrompus.
Une solution à double tranchant : elle peut fragiliser les entreprises françaises en les rendant plus exposables aux cyberattaquants mais permet aux autorités d’avoir un meilleur contrôle sur ce phénomène et sur ce marché. Les sénateurs considèrent toutefois qu’une ambiguïté subsiste par rapport à la position de l’ANSSI.