Rançongiciel: Bercy donne son feu vert aux dédommagements des entreprises

Auteur :

Matthieu Guinebault

Publié le
8 sept. 2022

En 2021, ce sont 1.851 demandes d'assistance (+85%) qui ont été transmises aux autorités administratives françaises face à des rançongiciels, ces données piratées que des hackers monnaient contre de grosses sommes d'argent. Ces paiements restaient une zone grise côté assurance. Bercy valide officiellement le principe d'un dédommagement, à partir du moment où une plainte est déposée.

Car l'ampleur réelle du rançongiciel (francisation de "ransomware") n'est pas connue: par crainte de voir leurs données détruites, nombre d'entreprises victimes de cyberattaques ne se signalent pas auprès des autorités. Un discrétion qui a notamment retardé la mobilisation des pouvoirs publics sur cette question, et maintenu en place la réticence des dirigeants à faire part de leurs déboires.

Dans le secteur de la mode, ce n'est ainsi que quelques marques qui ont assumé publiquement avoir été victimes de rançongiciels. Lise Charmel avait début 2020 été placée en redressement judiciaire suite à une attaque. Depuis, attaques et rançons avaient successivement ciblé Camaïeu, Orchestra ou Damart. Une petite partie d'un iceberg bien plus massif, et autour duquel Bercy espère définitivement briser l'omerta.

La nouvelle mesure encadrant le rôle des assureurs dans les cas de cyber-rançons "sera partie intégrante du projet de loi d'orientation et de programmation du ministère de l'Intérieur (LOPMI) présenté ce mercredi 7 septembre en Conseil des ministres", indiquait le jour J le ministre de l'Economie, Bruno Le Maire. "Une task force dédiée à l'assurance du risque cyber, associant les acteurs concernés, sera mise en place d'ici la fin du mois de septembre", a précisé Bercy.

Selon un rapport de la direction générale du Trésor visant à développer l'assurance du risque cyber, il convient de "clarifier le cadre juridique", notamment à travers "l'obligation d'un dépôt de plainte de la victime pour permettre l'assurabilité d'une cyber-rançon", explique le ministère. Ce dernier estime que 54% des entreprises françaises ont fait l'objet d'une cyberattaque en 2021. Le marché français de l'assurance cyber aurait cette année-là pesé 219 millions d'euros.

Interdire les dédommagements pour ne pas alimenter la filière?

Jusqu'à présent, une zone grise subsistait sur ce sujet des assurances contre les rançons. L'indemnisation par les assureurs des rançons n'était pas illégale. Cependant, un rapport parlementaire avait l'an passé proposé d'interdire la pratique. Les élus estimaient dans ce document que "le paiement des rançons (par les assureurs) alimente la cybercriminalité" et que "rien ne garantit que la rançon payée soit un gage de retour à la situation initiale" pour l'entreprise attaquée.

La prise de position des législateurs n'avait pas été sans conséquence. Axa France avait ainsi suspendu la commercialisation de l'option "cyber-rançonnage" depuis mai 2021, le temps que le cadre d'intervention de l'assurance soit clarifié. Début 2022, c'est Generali France qui avait annoncé à son tour attendre un arbitrage clair par les pouvoirs publics.

Dans son rapport désormais publié, le Trésor souligne que pour développer l'assurance cyber, qui ne représente que 3% des cotisations en assurance dommage des professionnels, il convient, entre outre, de mieux mesurer les préjudices et donc le risque de cyberattaque, en partageant les données entre le public et le privé, et d'"accroître les efforts de sensibilisation des entreprises".

"L’accélération des cycles de vie, la fast-fashion, l’évolution rapide des comportements d’achat…. Tout cela a fait qu’il y avait urgence à faire évoluer les systèmes, mais que le secteur s’est en conséquence moins penché sur les problématiques de fond comme la sécurité", expliquaient dès 2020 à FashionNetwork.com, Sylvain Moussé et Antoine Bertier, respectivement directeur de l’innovation et directeur du développement retail de Cegid, fournisseur d’outils et logiciels pour les détaillants. La sécurisation des systèmes serait désormais devenue l'une priorité des acteurs du secteur. 

Selon le rapport Cognyte, cité par Bercy et publié l'an passé, les cyber-rançons ont connu une accélération durant la crise sanitaire. Alors que 1.112 rançongiciels payés avaient été recensés dans le monde sur l'exercice 2020, le seul premier semestre 2021 avait connu 1.097 attaques qui avaient débouché sur le versement d'une rançon.