Une orientation qui est susceptible d’encourager la croissance des demandes de rançons
Les assureurs pourront indemniser les victimes de ransomware qui se voient demander une rançon pour avoir à nouveau accès à leurs fichiers, à condition que les entreprises portent plainte. Cette orientation est-elle la meilleure ? Le schéma aux USA montre que les compagnies d’assurance participent à l’augmentation des attaques de ransomwares. Même lorsque les organismes publics et les entreprises touchés par les rançongiciels pouvaient récupérer eux-mêmes leurs fichiers, les assureurs préfèrent payer la rançon. Pourquoi ? Les attaques sont bonnes pour les affaires.
Le ransomware est un logiciel malveillant qui bloque l’accès à vos outils informatiques et à vos données en les chiffrant. Une fois chiffrées, ces dernières peuvent être bloquées, détruites ou exploitées sur des marchés parallèles à prix d’or. Pour récupérer ces données, le cybercriminel demande le paiement d’une rançon en échange d’une clé de déchiffrement.
Si l’indemnisation par les assureurs des rançons n’était pas illégale, un rapport parlementaire avait proposé il y a un an de l’interdire. En attendant d’y voir plus clair, Axa France avait suspendu en mai 2021 la commercialisation de l’option « cyber rançonnage ». Le groupe avait été suivi par Generali France début 2022.
Pourtant, les risques d’attaques par ransomware ont augmenté.
Selon l’édition 2022 du rapport Data Breach Investigations de Verizon, le nombre d’attaques par ransomware a fortement augmenté par rapport à l’année dernière, et il est aussi plus important qu’au cours des 5 dernières années combinées. Le rapport met en lumière une année singulière en matière de cybersécurité.
Hans Vestberg, PDG et président de Verizon, déclare : « Au cours de ces dernières années, la pandémie a mis en évidence un certain nombre de problèmes importants que les entreprises ont été contraintes de résoudre en temps réel. Mais nulle part ailleurs la nécessité de s’adapter n’est plus importante que dans le monde de la cybersécurité. Alors que nous continuons de nous diriger rapidement vers un monde de plus en plus numérisé, des solutions technologiques efficaces, des systèmes de sécurité fiables et une importante concentration sur l’éducation permettront de jouer un rôle important dans le but de garantir la sécurité des entreprises et la protection des clients. »
Le paysage dressé du côté de l’ANSSI était plus sombre puisqu’il a indiqué que les attaques par ransomware ont augmenté de 255 % depuis 2020 d’après l’ANSSI. Parmi les secteurs les plus touchés, la finance et l’assurance arrivent en première place, suivies par l’industrie, l’énergie puis le retail.
Menace importante en 2021, le ransomware constitue 60 % des attaques observées par le CERT-Wavestone. La France est le 4e pays le plus touché au monde après le Canada, le Royaume-Uni et les Etats-Unis. Dans 56 % des cas, les victimes n’avaient pas anticipé être la cible potentielle d’une cyberattaque et dans 90 % des cas, des données ont été perdues irrémédiablement.
Comme pour illustrer la situation, fin août, le Centre hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes a été victime d’une attaque informatique. Une demande de rançon de 10 millions de dollars a été exigée par le ou les hackeurs.
Pourtant, selon un rapport de la direction générale du Trésor, le risque cyber est encore relativement peu assuré, et ne représente que près de 3 % des cotisations en assurance dommages des professionnels. Ce constat est le fruit de deux facteurs selon le rapport : une sous-estimation, ou en tout cas une difficulté à appréhender le risque cyber pour les entreprises (en particulier les plus petites), et des difficultés à estimer ses impacts pour les acteurs de l’assurance, en particulier lors d’incidents de grande ampleur.
Pour mémoire, à la demande de Bruno Le Maire, ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique, la direction générale du Trésor a mis en place, en juin 2021, un groupe de travail portant sur le développement d’une offre assurantielle de couverture des risques cyber, associant, outre les services de l’État, des deux représentants des entreprises, des organismes d’assurance et de réassurance et des experts du monde académique. C’est pour faire suite à ces travaux que le rapport sur le développement de l’assurance du risque cyber a vu le jour.
Un plan d’action décliné en quatre axes a alors été décliné.
Paiement des rançons : dépôt de plainte obligatoire
En premier point, le rapport insiste sur la clarification du cadre juridique de l’assurance du risque cyber. Il est ainsi recommandé de diffuser de bonnes pratiques de rédaction pour améliorer la prise en compte de ce risque. À moyen terme, il est proposé de renforcer l’information des assurés sur l’étendue de leurs garanties. Enfin, indique Bercy, « l’obligation d’un dépôt de plainte de la victime pour permettre l’assurabilité d’une cyberrançon, ainsi qu’un principe général d’interdire d’assurer les sanctions administratives sont également proposés pour lever des ambiguïtés dommageables aux assurés comme aux assureurs ». La mesure dédiée aux cyberrançons avec obligation de dépôt de plainte pour être indemnisé est partie intégrante du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) présenté ce mercredi 7 septembre en Conseil des ministres.
Mieux mesurer le risque cyber
Le rapport recommande d’améliorer l’évaluation des risques des assureurs afin de permettre aux acteurs de mieux prendre en compte l’exposition au risque opérationnel cyber. La création d’une catégorie de « reporting au superviseur dédiée au risque cyber » puis, à moyen terme, d’une « branche cyber dédiée » est également recommandée. Le rapport préconise par ailleurs de faciliter la transmission d’informations entre assureurs au sein d’une plateforme de partage de données sur les incidents cyber issue d’un partenariat public/privé, afin de disposer de davantage de données sur ce risque.
Améliorer le partage de risque entre assurés, assureurs et réassureurs
Outre la promotion de solutions innovantes, comme « l’assurance paramétrique » qui permet le versement automatique d’une prestation établie en fonction d’un indice mesurable automatiquement, le développement de solutions d’autoassurance telles que les captives de réassurance pourrait permettre de créer un marché de l’assurance du risque cyber. « La mise en place d’une provision dédiée apparait, à cet égard, être une solution pertinente pour permettre aux entreprises de mieux gérer leur risque cyber. »
Le rapport préconise enfin d’accroître les efforts de sensibilisation des entreprises au risque cyber. « La définition de référentiels de sécurité partagés et un travail sur l’harmonisation des questionnaires de sécurité utilisés par les assureurs constituent également un levier pour renforcer la résilience des entreprises. »
Une mise en œuvre « le plus rapidement possible »
Afin de mettre en œuvre ces orientations, une « task force » dédiée à l’assurance du risque cyber, associant les acteurs concernés, sera mise en place d’ici la fin du mois de septembre, précise Bercy. Bruno Le Maire, ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique, souhaite que ces orientations « soient mises en œuvre le plus rapidement possible ». À ses yeux, l’enjeu est crucial : « il s’agit d’affirmer la souveraineté numérique de notre économie face à un accroissement des menaces cyber, pour renforcer la résilience de nos entreprises. »
En revanche, la question de la couverture de dommages liés à une cyberguerre, dont la notion n’est pas clarifiée, n’est pas tranchée. À la mi-août, le Lloyd’s of London a lui demandé à ses membres assureurs d’exclure à partir de mars 2023 la couverture des cyberattaques étatiques.
Bruno Le Maire, ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique, a déclaré : « Ce rapport propose des actions concrètes et crédibles pour développer un marché de solutions assurantielles, tout en renforçant la prévention du risque cyber. Il est issu d’une large concertation avec l’ensemble des acteurs concernés : fédérations d’entreprises, assureurs, experts du monde académique et superviseurs. Je souhaite que ces orientations soient mises en œuvre le plus rapidement possible. L’enjeu est crucial : il s’agit d’affirmer la souveraineté numérique de notre économie face à un accroissement des menaces cyber, pour renforcer la résilience de nos entreprises. »
Une mesure bien accueillie par les assureurs
La mesure, présente dans le projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPM), est dans l’ensemble bien accueillie par les assureurs. « Toute imprécision dans un contrat est mauvaise pour l’assuré et pour l’assureur. Donc tout ce qui va dans le sens de la clarification va dans le bon sens », observe Florence Lustman, la présidente de France Assureurs. Les assurances couvrant les risques cyber sont très peu répandues (3 % des cotisations d’assurance dommages des professionnels). « C’est un risque qu’on a encore un peu du mal à appréhender », expliquait récemment Bertrand Romagné, président de l’Association des professionnels de la réassurance en France (Apref).
Pour développer ce marché, la direction générale du Trésor préconise, entre autres, de mieux mesurer le risque cyber, en partageant les données entre le public et le privé. Et « d’accroître les efforts de sensibilisation des entreprises », TPE et PME en tête. « Ce sont elles qu’il faut assurer en priorité face à la menace des rançongiciels. Elles sont tentées de payer la rançon alors que dans 99 % des cas, les grands groupes refusent », estime Mickaël Robart, directeur en charge du développement chez le courtier Diot-Siaci.
L’économie de l’extorsion : comment les compagnies d’assurance alimentent-elles une augmentation des attaques de ransomwares
Le 24 juin 2019, le maire et le conseil de Lake City, en Floride, se sont réunis en session d’urgence pour décider comment résoudre une attaque de ransomware qui avait verrouillé les fichiers informatiques de la ville pendant les quinze jours précédents. Witt et les membres du conseil ont demandé conseil au directeur municipal Joseph Helfenberger. Il a recommandé à la ville d’autoriser son cyberassureur, Beazley, souscripteur au Lloyd’s of London, à payer la rançon de 42 bitcoins, alors d’une valeur d’environ 460 000 dollars. Lake City, qui était couverte contre les ransomwares dans le cadre de sa police de cyberassurance, ne serait responsable que d’une franchise de 10 000 $. En échange de la rançon, le pirate fournirait une clé pour déverrouiller les fichiers.
« Si ce processus fonctionne, cela permettrait à la ville d’économiser beaucoup de temps et d’argent », leur a dit Helfenberger.
Sans poser de questions ni délibérer, le maire et le conseil ont approuvé à l’unanimité le paiement de la rançon. Le paiement à six chiffres, l’un des nombreux que les villes américaines ont remis aux pirates informatiques en quelques mois pour récupérer des fichiers, a fait la une des journaux nationaux.
Le briefing d’Helfenberger n’a pas mentionné que le personnel informatique de la ville, en collaboration avec un fournisseur extérieur, avait poursuivi une approche alternative. Depuis l’attaque, ils tentaient de récupérer des fichiers de sauvegarde qui avaient été supprimés lors de l’incident. Sur la recommandation de Beazley, la ville a choisi de payer la rançon parce que le coût d’une récupération prolongée à partir des sauvegardes aurait dépassé sa limite de couverture de 1 million de dollars et parce qu’elle voulait reprendre les services normaux le plus rapidement possible.
« Notre compagnie d’assurance a pris [la décision] pour nous », a déclaré le porte-parole de la ville, Michael Lee, sergent du département de police de Lake City. « En fin de compte, cela se résume vraiment à une décision commerciale du côté de l’assurance: ils regardent combien cela va coûter pour le réparer nous-mêmes et combien cela va coûter pour payer la rançon ».
Le maire, Witt, a déclaré dans une interview qu’il était au courant des efforts déployés pour récupérer les fichiers de sauvegarde, mais qu’il préférait que l’assureur paye la rançon, car cela coûtait moins cher à la ville. « Nous payons une franchise de 10 000 $ et nous reprenons nos activités, espérons-le », a-t-il déclaré. « Ou nous disons : “Non, nous n’allons pas faire ça”, puis nous dépensons de l’argent que nous n’avons pas pour nous remettre en marche. Et donc pour moi, ce n’était pas une décision agréable, mais c’était la seule décision ».
À cette période, les ransomwares proliféraient déjà à travers l’Amérique, désactivant les systèmes informatiques des entreprises, des gouvernements municipaux, des écoles et des services de police. Durant le mois d’août 2019 seulement, des attaquants à la recherche de millions de dollars ont chiffré les fichiers de 22 municipalités du Texas. Le rôle de l’assurance, une industrie qui l’alimente et en profite à la fois, est négligé dans la frénésie des ransomwares. Au cours des dernières années, la cyberassurance vendue par des entreprises nationales et étrangères est devenue un marché estimé entre 7 et 8 milliards de dollars par an rien qu’aux États-Unis, selon Fred Eslami, directeur associé chez AM Best, une agence de notation qui se concentre sur sur le secteur de l’assurance. Bien que les assureurs ne divulguent pas d’informations sur les paiements de rançon, les médias ont constaté qu’ils répondent souvent aux demandes des attaquants, même lorsque des alternatives telles que des fichiers de sauvegarde enregistrés peuvent être disponibles.
Le FBI et les chercheurs en sécurité affirment que le paiement de rançons contribue à la rentabilité et à la propagation de la cybercriminalité et, dans certains cas, peut finalement financer des régimes terroristes. Mais pour les assureurs, cela a un sens financier, ont déclaré des initiés de l’industrie. Il réduit les coûts des sinistres en évitant des dépenses telles que la couverture des pertes de revenus dues aux services bloqués et les frais permanents des consultants aidant à la récupération des données. Et, en récompensant les pirates, il encourage davantage d’attaques de ransomwares, qui à leur tour effraient davantage d’entreprises et d’agences gouvernementales les conduisant à mettre plus d’argent sur les polices d’assurance.
« Il n’incombe pas à la compagnie d’assurance d’arrêter le criminel, ce n’est pas sa mission. Leur objectif est de vous aider à reprendre vos activités. Mais cela soulève la question, lorsque vous payez ces criminels, que se passe-t-il à l’avenir ? » a déclaré Loretta Worters, porte-parole de l’Insurance Information Institute, un groupe industriel à but non lucratif basé à New York. Les attaquants « voient les poches profondes. Vous avez le secteur de l’assurance qui va payer, c’est formidable ».
Un porte-parole de Lloyd’s, qui souscrivait en 2019 environ un tiers du marché mondial de la cyberassurance, a déclaré que la couverture est conçue pour atténuer les pertes et se protéger contre de futures attaques, et que les victimes décident de payer ou non des rançons. « La couverture est susceptible d’inclure, en cas d’attaque, l’accès à des experts qui aideront à réparer les dommages causés par toute cyberattaque et à s’assurer que toutes les faiblesses de la cyberprotection d’une entreprise sont éliminées », a déclaré le porte-parole. « La décision de payer une rançon reviendra à l’entreprise ou à l’individu qui a été attaqué ».
source : developpez