Ransomware : mieux vaut prévenir plutôt que payer !
Selon l’Anssi, entre 2019 et 2020, le nombre d’attaques par des ransomwares a été multiplié par quatre. Dans ce contexte, un rapport parlementaire publié le 13 octobre 2021 propose d’interdire aux assureurs de couvrir les rançons. La députée Valéria Faure-Muntian préconise également de sanctionner les organisations qui « procèdent au paiement des rançons ».
Le paiement des rançons liées aux cyberattaques est un sujet très complexe. D’un côté, les victimes sont souvent tentées de payer leur cyber-agresseur, dans l’espoir (pas forcément la garantie…) de retourner rapidement à la normale, après que les systèmes d’information ont été totalement bloqués par l’attaque. C’est vrai dans le secteur privé comme dans le secteur public.
D’un autre côté, il y a une envie légitime de vouloir se protéger des risques cyber de la même façon que l’on se protégerait des risques d’inondation … Cette approche peut être assimilée à une solution de facilité pour ne pas devoir mettre en place les protections nécessaires en amont, et pouvoir faire porter par son assureur les conséquences pécuniaires d’une cyberattaque.
En 2020, les paiements de rançon ont atteint plus de 400 millions de dollars, soit plus de quatre fois leur niveau en 2019. L’enjeu est donc de taille, et les actuaires des grandes compagnies d’assurance ont déjà fait tourner leurs algorithmes pour identifier le juste niveau des primes à demander à leurs nouveaux assurés. Contrairement à une assurance voiture ou habitation, on manque encore de repères pour identifier « le juste prix » de ce type d’assurance. La mise en concurrence est donc nécessaire.
Au niveau international, la lutte contre les rançongiciels bénéficie d’une collaboration étroite avec les partenaires internationaux. Lors de la réunion du Groupe des Sept (G7) en juin dernier, les membres se sont engagés à travailler ensemble pour faire face en urgence à la menace commune et croissante des réseaux criminels de ransomware. Le G7 étudie aussi les impacts potentiels sur le secteur financier. Par exemple, le Groupe d’experts en cybercriminalité (CEG) du G7, coprésidé par le Trésor et la Banque d’Angleterre, s’est réuni les 1er et 14 septembre 2021 pour discuter des ransomwares et explorer les moyens de contribuer à améliorer la sécurité et la résilience globales contre les activités cyber malveillantes.
Aux États-Unis, l’OFAC (Office of Foreign Assets Control) du Trésor a émis le 21 septembre dernier un avis soulignant que le gouvernement des États-Unis continue de décourager fortement le paiement de rançons ou de demandes d’extorsion dans le cyberespace et reconnaît l’importance de la « cyber-hygiène » pour prévenir ou atténuer de telles attaques.
Au-delà des assurances promettant de couvrir (au moins partiellement…) ses risques financiers, le meilleur moyen de se protéger de ces risques reste l’investissement dans les initiatives de prévention, de protection et de détection des attaques pour les SI grâce aux solutions de cybersécurité disponibles aujourd’hui sur le marché.
Julien Escribe
Partner et expert en management des systèmes d’information chez ISG, cabinet mondial de conseil et de recherche en technologie
Les plus lus…
Le secteur du nettoyage industriel étant particulièrement exposé aux risques d’accidents du travail ou de maladies professionnelles, l’entreprise SafetyKleen…
Le 3 décembre dernier, le ministère de la Transition écologique a adressé aux préfets l’instruction fixant les actions prioritaires…
Grâce à une résistance chimique, une durabilité et une solidité supérieures, les polyamides renforcés se distinguent en tant…
Le monde de la sûreté et de la sécurité incendie évolue, et avec lui, les technologies connectées. Grâce à…
La tempête Martin, qui a touché une large moitié sud de la France fin décembre 1999, a provoqué une…
Un essai de feu sur batteries lithium réalisé pour France Assureurs s’est tenu sur le site de CNPP à…