Analyse

[JDR] Ransomwares: les assureurs pointés du doigt par l’Etat

Le 6 mai 2021 par Le club Risque de l'AEGE

Bien que les cyberattaques ne soient pas un phénomène nouveau, l’ampleur de leur volume d’attaques et le coût pour les victimes qu’elles représentent est sans précédent. Ainsi, le risque “zéro” n’existant pas, les entreprises cherchent à transférer le risque cyber vers leurs assurances qui proposent de plus en plus de produits répondant à leurs besoins.

Le marché de l’assurance cyber risque

La crise du coronavirus a totalement bouleversé les  modes de vie en normalisant le télétravail et  a accéléré  la numérisation de toute l’économie. Par ailleurs, elle a largement favorisé l’augmentation de la cybercriminalité qui a explosé, le nombre de piratages informatiques ayant quadruplé en 2020. Dans le même temps, les entreprises prennent de plus en plus conscience de ce risque et, cherchant à s’en prémunir, se tournent vers les compagnies d’assurances pour transférer le risque cyber vers elles. Compte tenu de ce contexte favorable, il est fort probable que le marché de l’assurance cyber risque augmentera exponentiellement dans les prochaines années. Par exemple, les primes de cyber-assurance sont susceptibles de s'accroître de 20 à 30 % par an en moyenne durant les dix prochaines années grâce à la forte demande des PME. Il convient toutefois de nuancer ce propos, dans la mesure où les réassureurs sont assez frileux à s’engager totalement sur ce marché. Le risque cyber demeure un risque très difficile à modéliser, en raison de son évolution constante, en fonction des nouvelles techniques d’attaques.

Le rôle joué par l’assurance dans la gestion du risque cyber 

Il est indéniable que la couverture assurantielle contre le risque cyber ne doit pas venir se substituer à des investissements dans la cybersécurité des infrastructures informatiques des entreprises, ni même d’ailleurs à une gestion efficace du risque. Au contraire, celle-ci doit  venir en complément de procédures et politiques de management du risque, dans la mesure où elle peut contribuer de manière importante à la gestion du risque cyber. Elle permet également de fournir une certaine expertise sur la gestion et la prévention et impose à l’entreprise une cartographie de ses risques, une analyse de ses vulnérabilités et une évaluation des enjeux. En effet, les compagnies d’assurances disposent de bases de données d’incidents cyber à partir desquelles tournent leurs modèles. Enfin, le secteur assurantiel dispose d’une capacité à quantifier les risques ainsi qu’à absorber les pertes des entreprises victimes. De même, celui-ci les encourage souvent à mener des politiques de réduction des risques, pouvant par conséquent participer à l'amélioration de la gestion de ces derniers.

Les compagnies d’assurances dans le viseur des Etats

En Octobre 2020, les Etats-Unis avaient fait peser un nouveau risque de sanctions sur les établissements financiers, dont l’objectif était de détruire le modèle de financement des cybercriminels. C’est désormais au tour de la France de pointer du doigt les compagnies d’assurances. Ainsi, au cours d’une table ronde au Sénat, le 15 avril 2021, les assureurs se sont vus reprocher de favoriser l’augmentation des attaques informatiques par rançongiciels, notamment parce qu’ils acceptent la plupart du temps de payer la rançon demandée par les cybercriminels. En témoigne les dires de Guillaume Poupard, directeur de l’ANSSI, qui, durant cette audition, a fait part de son souhait de mieux encadrer « ces intermédiaires un peu gris qui font un business du paiement des rançons ». 

Actuellement, les compagnies d’assurances ne sont pas d' accord sur le fait de payer ou non les rançons liées à des ransomwares. À l'image d’Axa France qui a indiqué le 3 mai, vouloir suspendre sa garantie cyber rançonnage, la question de la fin de la couverture assurantielle des ransomwares se pose.

 

Le club Risque de l'AEGE

 

Pour aller plus loin: