Bouygues Construction, Lise Charmel, Garmin ou Fleury Michon... De plus en plus de sociétés françaises sont touchées par des rançongiciels. En 2020, une grande entreprise sur cinq selon l'Anssi (agence nationale pour la sécurité des systèmes d’information), alors que les hackers s'en donnent à coeur joie en raison de la digitalisation provoquée par l'épidémie de Covid-19. Dans l'industrie, les conséquences d'une cyberattaque peuvent s'avérer dévastatrices. En atteste le récent exemple de Colonial Pipeline, le plus important réseau d'oléoducs des Etats-Unis victime depuis quatre jours d'une attaque qui pourrait se répercuter sur l'ensemble de l'approvisionnement américain en pétrole.
Craignant une paralysie complète, beaucoup font le choix de céder aux demandes de rançons. Les victimes ne communiquant que très rarement sur le sujet, l'ampleur est difficilement chiffrable... mais suffisante pour inquiéter les plus hautes institutions.
Vers une loi spécifique ?
Lors d'une audition au Sénat le 15 avril, Guillaume Poupard et Johanna Brousse, respectivement directeur de l'Anssi et vice-procureure en charge des dossiers de cybersécurité au parquet de Paris, ont même accusé les assureurs d'amplifier ce phénomène néfaste, en incitant trop souvent leurs clients à payer les demandes de rançons. Craignant en effet de devoir s'acquitter d'indemnités bien supérieures aux montants réclamés par les pirates si jamais de précieuses données venaient à être effacées, certains assureurs ont mis en place de nouvelles garanties en option pour couvrir ce type de risque.
La présidente du groupe d'études assurance de l'Assemblée nationale Valéria Faure-Muntian (LREM) a récemment lancé un cycle d’auditions sur le thème de l'assurance cyber, dont les conclusions devraient être connues cet automne. Dans un entretien accordé à l'Argus de l'Assurance, la députée a reconnu qu'elle souhaitait légiférer pour interdire le paiement de rançons en cas de cyberattaque, qui peuvent notamment servir à financer le terrorisme. « Nous ne voulons plus payer et nous n’allons plus payer. Il faut que les hackeurs prennent conscience que la France n’est pas la poule aux œufs d’or ! », avait tonné Johanna Brousse devant le Sénat.
Investir dans la prévention
« Souscrire une assurance qui garantit le remboursement de la somme exigée par un rançongiciel, c'est se coller une cible dans le dos », confirme Philippe Cotelle, administrateur de l'Association pour le management des risques et des assurances de l'entreprise (AMRAE), dont il préside également la commission Systèmes d’Information, et vice-président de son équivalent européen, Ferma. « Les attaquants auront en effet tendance à viser ceux qui seront assurés car ils seront plus enclins à payer. Notre position est claire : il ne faut pas céder aux demandes de rançons », ajoute celui qui est par ailleurs risk manager au sein d’Airbus Defence & Space. Tout en appelant les assureurs à « continuer à jouer leur rôle pleinement en remboursant plutôt les dommages collatéraux des rançongiciels, comme la perte de données ».
L'assureur Axa demande au gouvernement de s'emparer du sujet. Comme le rapporte News Assurances Pro, il a décidé début mai de suspendre sa garantie prévoyant le paiement d'une rançon dans ce type de situation, « le temps que le cadre d’intervention de l’assurance soit clarifié ». « Il est primordial que les pouvoirs publics concrétisent leur position sur ce sujet afin de permettre à tous les acteurs du marché d'harmoniser leurs pratiques », a ajouté l'assureur.
En attendant, quelle solution pour protéger durablement les entreprises ? Philippe Cotelle est formel : « Il faut tout d'abord qu'elles apprennent à identifier clairement leurs besoins en matière de cybersécurité et à quantifier concrètement les impacts potentiels d'une attaque. Ensuite, il faut les accompagner, les former à savoir comment réagir en cas de situation d'urgence ». Le plan d'un milliard d'euros annoncé par la France en février devrait aider à atteindre ces objectifs.
