Une PME contracte une assurance contre les cyber-risques. Victime d’un rançongiciel, elle hésite à payer le tribut exigé. Question-clé: l’assureur indemnise-t-il le paiement des cyber-rançons? Cette pratique divise la branche. En France et au Luxembourg, les avis sont opposés.
, par exemple, couvre l’assistance, les dommages matériels, la responsabilité civile… mais pas la rançon. «Pour la simple et bonne raison que le paiement de la rançon ne règle pas le problème du client dans la grande majorité des cas», explique le responsable cyber de Foyer, Kris van Roye. «Nous préférons nous concentrer sur la solution plutôt que de payer un montant sans avoir la certitude que la situation ne se débloquera pas. Ce serait aussi faire une mauvaise publicité aux cybercriminels.»
Je crains que cela n’encourage la criminalité et n’incite à relâcher la vigilance.
L’Association des compagnies d’assurances et de réassurances (Aca) n’a pas de position tranchée sur le sujet, indique son administrateur-délégué, . «À titre personnel, je crains que cela n’encourage la criminalité et n’incite à relâcher la vigilance», souligne-t-il toutefois.
Certes, reconnaît le représentant des assureurs luxembourgeois, «le paiement de la rançon est le plus souvent le seul moyen de récupérer les données». Problème, selon lui: l’assureur qui couvre ce paiement s’expose au risque d’être attaquable au pénal, à cause des dispositions anti-blanchiment. «Donner une apparence légale à des revenus d’origine criminelle n’est pas vraiment dans la ligne des dispositions AML», affirme-t-il, appelant à «clarifier cette question dans la loi».
Condition: porter plainte
Légiférer, la France l’a fait il y a plus d’un an. Promulguée le 24 janvier 2023, la loi d’orientation et de programmation du ministère de l’Intérieur permet aux assurances d’indemniser leurs assurés après le paiement d’une rançon, à la seule condition que la victime d’un rançongiciel porte plainte dans les 72 heures suivant sa prise de connaissance de l’attaque.
D’âpres débats ont précédé ce résultat, qui satisfait France Assureurs. La fédération du secteur défend vigoureusement le droit des assureurs à indemniser les victimes de cyberattaques. Son directeur Assurances de dommages et de responsabilité, Christophe Delcamp, établit un parallèle avec la couverture du vol de véhicules: «La garantie vol des véhicules existe depuis les années 1950, et ce n’est pas parce qu’on couvre le vol des véhicules qu’on favorise le développement des mafias.»
Et de poursuivre: «L’objectif principal est d’apporter des solutions aux assurés. Le paiement de l’indemnisation est le dernier recours. Les assureurs procèdent à une analyse de risque au moment de la souscription. Ils vérifient que l’entreprise a adopté les bonnes mesures de prévention, qu’elle est correctement protégée. Cela engendre une dynamique positive.»
Aucun pays, à l’exception du Portugal, n’interdit la couverture de rançongiciels.
A contrario, si la loi interdisait l’indemnisation des cyber-rançons, «l’intérêt de s’assurer, ainsi que de mettre en place des mesures de prévention, serait bien moindre», argue Christophe Delcamp. Dans un tel scénario, les entreprises deviendraient des cibles encore plus faciles pour divers types d’attaques cyber. «Par ailleurs, lorsqu’on a fait un comparatif avec d’autres pays, on s’est rendu compte qu’aucun pays – à l’exception récente du Portugal – n’interdisait la couverture de rançongiciels.»
L’intérêt de la déclaration obligatoire des sinistres cyber par les victimes est également un point central de l’argumentation. «C’est vraiment un cercle vertueux de bonne intelligence entre assurés, assureurs et pouvoirs publics», insiste Christophe Delcamp. Autrement dit: cette pratique permettrait non seulement une meilleure gestion des risques, mais aussi une lutte plus efficace contre la cybercriminalité, en fournissant aux autorités les informations nécessaires pour appréhender les criminels.
«La demande est là»
La nouvelle loi est en vigueur depuis maintenant plus d’un an. La crainte d’un appel d’air pour les cybercriminels était-elle infondée? Le directeur Assurances de dommages et de responsabilité de France Assureurs reste prudent. «À première vue, il n’y a pas eu de dégradation de la sinistralité», relève-t-il, renvoyant au «retour d’expérience» prévu par le ministère de l’Intérieur.
La décision de proposer cette garantie appartient à chaque compagnie et France Assureurs ne dispose pas encore de données pour l’année écoulée. «Si cette couverture est vendue, c’est que la demande est là», estime toutefois Christophe Delcamp.
(À l’occasion de la 16e édition du Forum InCyber, Paperjam publie une série d’articles consacrés au marché de l’assurance cyber des entreprises.)