Une entreprise sur cinq victime d’au moins une attaque par ransomware
Selon le 6ème Baromètre annuel publié par le CESIN (Club des Experts de la Sécurité de l’Informatique et du Numérique), 19 % des entreprises françaises déclarent avoir été victimes d’au moins une attaque par ransomware au cours de l’année 2020. Une autre étude menée par l’assureur Hiscox relève que deux tiers des entreprises acceptent de payer une rançon pour récupérer leurs données ou débloquer leurs systèmes d’information, un chiffre qui illustre l’ampleur du phénomène. La France figure ainsi parmi les pays qui payent le plus au monde ces demandes de rançons.
Ce constat saisissant a alerté les autorités publiques. Au cours d’une audition au Sénat sur la cybersécurité des ETI et des PME le 15 avril dernier, l’ANSSI et le Parquet de Paris s’en sont pris au rôle des assureurs dans l’augmentation des cyberattaques par ransomware.
Le marché français partagé sur la question du paiement de la rançon
Guillaume Poupard, directeur général de l’agence nationale de la sécurité des systèmes informatiques (ANSSI) qualifie de « jeu trouble » la garantie de paiement des rançons intégrée dans les contrats de certains assureurs. Ceux-ci « préfèrent payer quelques millions de rançons plutôt que quelques dizaines de millions au titre de la perte des données garantie par la police d’assurance contractée », un cercle vicieux qui doit être cassé, selon lui.
Face à ces accusations, la Fédération française de l’assurance (FFA) précise que « le paiement d’une rançon ne constitue pas une infraction ». Si certaines compagnies d’assurance admettent que le paiement de la rançon en dernier ressort fait partie de la promesse d’assistance faite aux clients, d’autres choisissent de refuser systématiquement cette action quitte à passer à côté de plusieurs affaires.
Le marché français est donc partagé sur la question du paiement des rançons. Pour le directeur général de l’ANSSI, il est indispensable d’« encadrer ces intermédiaires ».
Vers une interdiction du paiement de la rançon par les assureurs
Face à ce constat, les autorités envisagent d’interdire purement et simplement le paiement de la rançon. La Direction générale du Trésor a d’ailleurs confié une mission au Haut Comité juridique de la Place financière de Paris (HCJP) pour travailler sur ce sujet et établir des recommandations.
Si cette interdiction devient effective, « il est évident que l’ensemble des acteurs économiques, assureurs et entreprises, s’y conformera », indique la FFA. Cette décision aura également pour effet d’inciter les entreprises à investir dans une vraie politique de cybersécurité.