« Le paiement ou non des rançons [lors des attaques ransomware, NDLR], leur dédommagement par les assureurs, c’est un faux débat. » Interrogée lors des Rendez-vous de la cyber-assurance, mercredi 5 octobre, l’ancienne députée Valéria Faure-Muntian s’agace. Il faut dire que la direction générale du Trésor a jeté un pavé dans la mare, début septembre, en rendant un rapport qui préconise une ligne diamétralement opposée à ce qu’elle avait défendu dans son propre rapport sur le sujet, un an auparavant. Parmi les recommandations de l’administration, qui ont été reprises dans le projet de loi d’orientation et de programmation du ministère de l’Intérieur 2022-2027 (Lopim) déposé dans la foulée ? « Conditionner l’assurabilité du paiement des rançons au dépôt de plainte par la victime » alors que Valéria Faure-Muntian préconisait au contraire, un an plus tôt, « d’inscrire dans la loi l’interdiction pour les assureurs de garantir, couvrir ou d’indemniser la rançon ».
Alors, faut-il autoriser ou interdire le paiement des cyber-rançons ? Donner la possibilité aux assureurs de dédommager leurs clients ? L’ancienne députée estime que la réponse, au fond, importe peu. « C’est un débat qui concerne uniquement les entreprises aujourd’hui assurées contre le risque cyber », soit quelques milliers à peine, selon les chiffres présentés par la direction générale du Trésor dans son rapport : les PME, qui représentent plus de 99% des entreprises françaises, n’affichent que 0,3% de taux de couverture…
« Le paiement des rançons alimente la cyber-criminalité [et] encourage même les cyber-criminels à récidiver et en incite d’autres à concevoir des cyberattaques »
Valéria Faure-Muntian
La question est cependant sensible. L’Anssi, figure de proue du secteur de la cybersécurité, défend ardemment le non-paiement des rançons, qui figure d’ailleurs parmi les conseils édictés dans son guide sur les attaques par rançongiciel. En avril 2021, le directeur de l’Anssi, Guillaume Poupard, avait regretté lors d’une audition au Sénat que les assureurs « garantissent trop souvent le paiement des sommes exigées par les cybercriminels ».
Jusque-là discret sur le sujet, l’exécutif a donc finalement décidé d’aller à l’encontre des recommandations de l’Anssi. Un choix pragmatique, à en croire Valéria Faure-Muntian. « Les assureurs français ont besoin de cette mesure pour être compétitifs vis-à-vis de leurs homologues britanniques. » Sans surprise, les assureurs ont donc accueilli très positivement cette clarification de l’administration. « C’est un bon signal. Les assureurs opéraient jusqu’ici dans une zone grise, ils vont désormais être plus à l’aise puisque le gouvernement se positionne sur la légalité de leurs pratiques », assurait début septembre à nos confrères de La Tribune Diego Sainz, référent technique cyber du courtier d’assurance Verspieren.
De là à croire que c’était le signal qu’ils attendaient pour développer le marché de la cyber-assurance, Valéria Faure-Muntian n’y croit pas. « Ce n’est pas l’arbre qui cache la forêt. C’est une virgule dans un texte sur la police et la justice. Ce n’est pas grâce à cela que les assureurs vendront davantage de cyber-assurances demain. »
Le véritable enjeu : réduire les sinistres
De son côté, l’administration joue aussi la carte de l’apaisement. « Nous continuons à dire qu’il ne faut pas payer les rançons, a ainsi martelé Quentin Guerineau, chef de bureau Entreprises et intermédiaires d’assurance à la Direction Générale du Trésor, lors des Rendez-vous de la cyber-assurance. D’ailleurs, nous pensons que rendre l’indemnisation du paiement possible uniquement en cas de dépôt de plainte agira comme une barrière au paiement parce que cela implique pour les entreprises de faire savoir qu’elles ont payé. »
Car c’est finalement là que réside le véritable enjeu pour l’écosystème cyber tricolore, entreprises comme assureurs : doper la cybersécurité des organisations pour faire chuter le risque. Une sinistralité moindre rendrait le marché des cyber-assurances plus attractif pour les assureurs et les entreprises y gagneraient en sérénité. Et pas question pour l’administration d’être seule en charge de cette mission. « C’est le travail des assureurs d’améliorer la prévention pour que les entreprises n’aient pas à payer la rançon », a ainsi conclu Quentin Guerineau, rappelant les professionnels du secteur à leurs obligations.