L'assurabilité du risque rançongiciel dénoncée par les experts cyber

La disposition est aussi lapidaire que limpide. L’article 4 du projet de loi d'orientation et de programmation du ministère de l’Intérieur (Lopmi) conditionne la couverture du risque rançongiciel par une société d’assurance au dépôt d’une plainte par la victime dans les 48 heures après la survenue d'une cyberattaque. Elle semble avoir été poussée par la direction générale du Trésor, à l’origine d’un rapport publié début septembre 2022 sur "Le développement de l'assurance du risque cyber". Ses auteurs promeuvent le développement d’un marché de l’assurance cyber, aujourd’hui balbutiant, en tant que "levier d’un renforcement de la résilience des acteurs économiques". Le rapport appelle à "lever les incertitudes entourant le cadre juridique de l'assurance du risque", notamment sur "la légalité des clauses remboursant le paiement des cyber-rançons". Il propose parallèlement d’améliorer la connaissance de la sinistralité dans un contexte où au moins la moitié des victimes de rançongiciels ne portent pas plainte.

L’ampleur des risques sous-estimée

La disposition de la Lopmi – qui doit encore être adoptée – fait pourtant l’unanimité contre elle chez les professionnels de la cybersécurité. Dernière réaction en date, celle du Club des experts de la sécurité de l'information et du numérique (Cesin). Un sondage de ses membres, publié le 26 septembre révèle que 82% des répondants sur un total de 249 sont opposés à l’assurabilité des rançongiciels. L’association estime que cet article "soulève de nombreuses questions, comme le risque d’encourager le cybercrime, les pressions que pourraient exercer les assureurs auprès de leurs clients pour payer la rançon si celle-ci s’avère moins élevée que les coûts de remédiation, les risques accrus de récidives pour l’entreprise quand celle-ci a été estampillée 'bon payeur' par la communauté des cybercriminels, la propagation d’intermédiaires indélicats pour négocier avec les criminels, etc.". On peut du reste s’interroger sur le timing, la sortie du projet de loi tombant au moment même ou de nouvelles structures dont la ville de Caen viennent accroître la liste des quelque 300 communes victimes d’un rançongiciel au cours des 24 derniers mois, selon le décompte du site Zataz.

Un risque pas uniquement financier

La position du Cesin fait écho à celle de l’Agence nationale pour la sécurité des systèmes d’information (Anssi). Dans un guide consacré à la lutte contre les rançongiciels publié en août 2020, l’agence écrivait "le paiement des rançons entretient cette activité criminelle et ne garantit pas à la victime la récupération de ses données". Et d’ajouter que le risque que courent les victimes des rançongiciels est bien plus qu’une question d’argent mais provoque aussi une "altération de la réputation, une perte de confiance" ou encore "une rupture ou une dégradation d’activité chez la victime".
Coté assureurs, l’opportunité d’assurer les rançongiciels avait fait l’objet de débats bien avant qu’elle ne soit inscrite dans le projet de loi. L’assureur des collectivités, la Smacl, s’aligne ainsi totalement sur celle des experts cyber. Lors d’un colloque organisé en octobre 2021 son président, Jean-Luc de Boissieu, déclarait : "C'est aux collectivités de se prémunir du risque et non pas à l'assureur qui ne compensera jamais totalement les pertes. Il ne suffit pas pour une collectivité d'être assuré pour sécuriser ses systèmes d'information. La sécurité est un tout global qui impose de bien connaître les processus, les failles... et de mettre en place des politiques de prévention." Autant d’arguments auxquels les parlementaires seront peut-être sensibles.