Cyber assurance : menace sur la garantie « paiement de la rançon »

Publié le 3 juin 2021

Selon Cyber Malveillance.gouv.fr, les rançongiciels (ransomwares) sont la 1ère cause des recherches d’assistance des professionnels des secteurs privés et publics en 2020, avec une intensification sans précédent.

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) indique dans son rapport « Etat de la menace rançongiciel » du 01/03/21 une augmentation des signalements d’attaque par rançongiciel de 255 % par rapport à 2019, avec 192 incidents rapportés en 2020.

Les ransomwares sont un véritable fléau pour les entreprises qui sont particulièrement visées par ces attaques en raison du montant des rançons demandées, beaucoup plus importantes par rapport à des particuliers, au regard de l’impact qu’elles peuvent avoir pour les entreprises (arrêt d’activité, pertes de données irrémédiables, atteinte à la réputation, perte de confiance des clients ou fournisseurs…).

Selon Johanna Brousse, vice-procureure chargée de la section « cybercriminalité » du parquet de Paris et Guillaume Poupard, le directeur général de l’ANSSI, ce nombre d’attaques record en France serait lié à la position des assureurs, qui intègrent dans leurs contrats cyber une garantie de paiement de la rançon.

Si, selon la Fédération Française des Assurances, le paiement d’une rançon ne constitue pas une infraction, le débat initié le 15 avril 2021 en audition au Sénat, divise les assureurs, qui souhaitent désormais que ce sujet fasse l’objet d’une législation afin de permettre un alignement du marché.

La direction générale du Trésor a missionné le HCJP (Haut Comité juridique de la Place Financière de Paris) pour travailler sur le sujet, aboutir à des recommandations et éclaircir la position des autorités sur la légalité de cette pratique.

Certains assureurs ont d’ores et déjà annoncé la suspension de leur garantie ransomware, une garantie qui pourrait donc bien disparaître du marché d’ici peu.

Face à l’impossibilité de transférer ce risque aux assureurs, les entreprises devront donc miser sur une politique de prévention forte afin de se prémunir des attaques informatiques et mettre en place un plan de continuité d’activité en cas de menace avérée.

Pourquoi souscrire à un contrat cyber ?

  • Se protéger des conséquences financières : une protection supplémentaire à celle des contrats Responsabilité Civile et Dommages classiques est nécessaire pour vous protéger de toutes conséquences financières d’un incident informatique.
  • Sécuriser l’activité de votre entreprise : se protéger face aux incidents informatiques est vital pour le futur économique de votre entreprise.
  • Anticiper les risques liés à la nouvelle réglementation : entré en vigueur en mai 2018, le RGPD, mis en application par la CNIL, renforce le droit des personnes et responsabilise les acteurs traitant des données personnelles.
  • Mettre en place la procédure de gestion de crise : il est fortement conseillé de mettre en place une procédure de gestion de crise en cas d’incident informatique afin d’assurer la continuité de l’activité de votre entreprise.

 

À l’occasion de son DigiClub du 18 juin 2021, nos équipes, accompagnées d’experts en sécurité informatique, ont abordé ces sujets afin de vous donner les clés d’une politique de prévention et de gestion de sinistre efficace. Accédez au replay de ce DigiClub ici.

Retrouvez également le livre blanc de Servyr « Programmes d’assurance cyber : les bonnes pratiques pour sécuriser la santé financière de votre entreprise » qui vous guidera afin de répondre à vos principales problématiques sur les solutions les plus adaptées à vos enjeux de cyber sécurité. Dans cet ouvrage, découvrez comment prévenir et protéger votre entreprise du risque cyber.