Gouvernance
L’avenir des cyber assurances face au paiement des rançons
Par Laurent Delattre, publié le 23 janvier 2023
Pour un nombre croissant d’entreprises et d’entités publiques, la question se pose de payer ou pas les rançons demandées en cas de cyberattaques. La loi pourrait légaliser cette pratique et le gouvernement parie sur un développement du marché des cyber assurances. A tort ?
Selon le projet de loi d’orientation et de programmation du ministère de l’intérieur, le LOPMI, qui a été jugé partiellement non conforme par le conseil constitutionnel le 19 janvier dernier, les entreprises auront la possibilité de payer les rançons demandées en cas de cyberattaques, le plus souvent basées sur des ransomwares, à la seule condition de porter plainte dans les 72 heures suivant la connaissance de l’infraction.
Cette mesure a sans aucun doute été la plus discutée de ce projet de Loi. D’autant qu’elle va à l’encontre des recommandations de l’ANSSI qui rappelle dans son rapport annuel que le paiement d’une rançon « ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux. »
L’une des volontés derrière cette mesure controversée est de faciliter la tâche des enquêteurs en leur permettant d’être informés et surtout d’être rapidement informés pour mener une enquête efficace.
Par ailleurs, cette mesure est assortie dans le LOPMI d’un durcissement des sanctions contre les cyber-escrocs.
Selon le gouvernement, il s’agit d’aller dans le sens d’une meilleure information de la police et de la justice et d’encadrer les clauses de remboursement des cyber-rançons par les assurances. Le gouvernement a conjointement mis en avant un rapport effectué par la direction générale du trésor en collaboration avec des professionnels du secteur intitulé « Le développement de l’assurance du risque cyber ». Son titre illustre son contenu.
Une vraie fausse bonne idée ?
La mesure pourrait s’avérer être une fausse bonne idée. On imagine d’abord facilement le côté incitatif côté hacker puisque ces rançons seront « prises en charge ».
Quant aux mesures coercitives, elles auront un peu de mal à s’appliquer à des hackers localisés dans des pays comme la Russie, la Corée du Nord, la Chine…
Enfin, tous les assureurs sont loin de partager l’optimisme gouvernemental sur le développement du marché de l’assurance cyber.
Un rapport publié en juin 2022 par l’AMRAE, une association représentative du secteur a dressé un constat peu optimiste. Basé sur les primes et remboursements pour le marché des assurances cyber, le rapport soulignait que l’année 2021 avait vu l’équilibre retrouvé entre les primes et les remboursements après une année 2020 fortement déficitaire. Les montants remboursés avaient atteint plus de 216 millions en 2020 contre 73 millions d’euros l’année précédente. Ce retour a été dû non à la baisse des cyberattaques mais à des primes beaucoup plus onéreuses et à des conditions de versement devenues plus exigeantes.
Contrepartie de ces nouvelles conditions, le nombre d’entreprises ayant contracté des assurances cyber a baissé. Concrètement, pratiquement seules les grandes entreprises optaient pour ce type d’assurances. Sur les 185 M€ de primes versées au titre de la garantie cyber en 2021, 82 % viennent des grandes entreprises. Si leur nombre a augmenté ces dernières années, il est passé de 251 à 240 entre 2020 et 2021. Parallèlement, les ETI, et même les PME, attirent de plus en plus les cyber-escrocs. Une tendance attestée par les chiffres du rapport. Or, cette typologie d’entreprises aura certainement du mal à suivre des augmentations substantielles des cyber-assurances.
À LIRE AUSSI :
Une cyber-assurance en péril ?
Car la rentabilité retrouvée pour les cyber-assureurs en 2021 cache en réalité d’énormes disparités. Si le ratio Sinistres/Primes est de 58% sur les grandes entreprises, il est de 261% pour les ETI et de 325% pour les PME. Dit autrement, les cyber-assureurs semblent avoir trouvé une formule équilibrée pour les grandes entreprises mais vont devoir considérablement monter les primes et renforcer encore les conditions pour les ETI et les PME.
Dans son rapport, l’AMRAE s’attendait ainsi à des renouvellements tempétueux en fin d’année mais espérait néanmoins des négociations plus transparentes : la 2e édition de l’étude LUCY, menée par l’AMRAE avec les courtiers spécialistes de l’assurance d’entreprise, prétend en effet offrir une vision objective et exhaustive de l’offre d’assurance, de la sinistralité et des résultats techniques.
Mais, même si le rapport souligne que « les entreprises ont besoin d’être protégées contre le risque cyber, c’est un levier indispensable de la résilience de l’économie française », certains assureurs mettent en doute la viabilité de ce marché au moins sur les ETI et PME.
Ainsi, selon nos confrères suisses du Temps en date du 13 janvier, « le directeur de Zurich Insurance estimait récemment que le coût pharaonique des dommages causés par les cyberattaques devenait insupportable ».
De façon pour le moins ironique, l’assureur était lui-même touché par un important piratage peu après cette prise de parole. Reste à savoir s’ils ont payé et surtout, s’ils vont être indemnisés…
À LIRE AUSSI :