En cas de cyberattaque, une entreprise doit-elle verser la rançon que ses agresseurs lui réclament ? À cette question simple, la réponse était, jusqu’ici, limpide : non. "Ne pas payer" est même l’une des sept recommandations explicitement brandies par l’Agence nationale de la sécurité des systèmes d’information (Anssi), dans son guide pratique sur les rançongiciels, publié en septembre 2020. Mais cette fermeté initiale des autorités est pourtant bien en passe de se ramollir.
Dans le cadre de son projet de loi d’orientation et de programmation du ministère de l’Intérieur pour le nouveau quinquennat, le gouvernement prévoit en effet de créer, pour les entreprises, une "obligation de dépôt de plainte" si elles veulent être indemnisées du montant de leurs rançons. Comprendre, en filigrane, que le versement d’argent aux pirates informatiques va devenir officiellement couvert et remboursable par les assureurs.
Les rançons tolérées pour des raisons judiciaires
À l’origine de cette proposition, un rapport de la direction générale du Trésor, précisément consacré au nécessaire "développement de l’assurance du risque cyber" - un marché très porteur, mais encore minuscule (219 millions d’euros de chiffre d’affaires en 2021, selon France Assureurs) et en pleins errements. Mais, en l’occurrence, le document justifie ce virage à 180 degrés de la doctrine sur les rançons moins par des raisons économiques que judiciaires.
Certes, l’idée est, d’une part, de clarifier les offres et les dommages couverts par les assureurs, dans l’espoir d’accélérer les souscriptions aux polices informatiques et, d’autre part, de "préserver la viabilité" des entreprises ciblées par des attaques. Mais la mesure vise surtout à simplifier la vie des enquêteurs, alors que les victimes préfèrent, en général, passer sous silence ce genre de mésaventures pour "préserver leur image". Tolérer les rançons, pour en conditionner leur remboursement à un dépôt de plainte ("sous 48 heures", précise le texte), permettra ainsi de "faciliter les investigations" et "mieux connaître les méthodes des cybercriminels"… le tout, aux frais des sociétés privées et de leurs assureurs, donc.
Une solution de dernier recours à double tranchant
Conscient de ce revirement, la direction générale du Trésor précise que le paiement des cybercriminels devra rester "une option de dernier recours, après avoir analysé systématiquement les solutions alternatives". D’ailleurs, les assurances devront, dans leurs contrats, "continuer à inciter les entreprises à adopter des bonnes mesures de protection cyber, pour prévenir le risque de sous-investissement en matière de sécurité". Il est également conseillé aux compagnies d'"éviter de garantir les rançons payées en cryptoactifs, dont la traçabilité est complexe".
Autant de pincettes bien compréhensibles, tant la mesure va à rebours des discours portés jusqu’ici à tous les étages. Dans son guide sur les rançongiciels, l’Anssi explique ainsi que céder au chantage des pirates ne garantit pas la récupération des données bloquées. En revanche, ces virements d’argent les "[incitent] à poursuivre leurs activités et entretient donc ce système frauduleux".
Encore plus catégorique, la députée LREM Valéria Faure-Muntian prévenait, dans un rapport de 2021, que la "rentabilité" des cyberattaques "est évidemment renforcée lorsque leurs cibles bénéficient d’assurances cyber qui prennent en compte le paiement des rançons. Les cybercriminels en ont pleinement conscience : ils ciblent désormais les fichiers des assureurs, pour ensuite s’en prendre à leurs clients et avoir ainsi des garanties accrues de paiement."
Un danger "à relativiser", assure la direction générale du Trésor au motif que, de toute façon, "aucun État de l’OCDE n’interdit la couverture de ce risque". Charge aux entreprises, donc, de bien mesurer les dangers et de calculer leurs coûts en cas de cyberattaques.
