Le nombre d’entreprises touché par ce type d’attaque explose depuis deux ans, et le fait d’être assuré ne garantit pas d’être indemnisé.

Tout comme les dégâts des eaux ou un cambriolage, les cyberattaques font partie des aléas contre lesquels une entreprise doit se tenir prête. Parmi les outils favoris des hackers, il y a le rançongiciel, un logiciel malveillant destiné à prendre otage des données sensibles. Pour espérer revoir ses précieux dossiers, les escrocs exigent une somme d’argent à la victime.

Ce type de malware fait l’effet d’une épidémie dans le paysage informatique : 73 % des entreprises et des institutions françaises déclarent avoir été visés par des rançongiciels en 2021, contre 43 % en 2020, selon un rapport de la société Sophos.

Naturellement, les entreprises et organisations anticipent désormais ce type d’attaque en souscrivant à un contrat d’assurance, néanmoins les petites entités sont nettement plus susceptibles de tout perdre lors d’une attaque, puisque seulement une entreprise de moins de 250 salariés sur dix dispose de ce type de contrat.

Maintenant, être assuré ne signifie pas être obligatoirement remboursé. Généralement ce sont les coûts de nettoyage des dégâts qui sont pris en charge par les compagnies. Quant au paiement de la rançon, le sujet fait débat. 40 % des entreprises touchées en 2021 ont déclaré que l’assureur avait remboursé la rançon.

Pour une entreprise le paiement de la rançon est souvent le choix de la facilité : éviter de tout perdre sans avoir à remplacer les systèmes informatiques dans la foulée. Les assureurs et l’ANSSI (Agence nationale de la sécurité des systèmes d’information) dissuadent de céder aux escrocs pour ne pas encourager cette pratique. Certaines compagnies comme Generali ont spécifié qu’elles ne rembourseraient jamais les sommes avancées pour payer les attaquants.

« On attend toujours d’être indemnisé »

Un groupe, touché par un rançongiciel nous a raconté, sous couvert d’anonymat, qu’il n’a toujours pas reçu le moindre euro de son assurance alors que cette dernière lui avait recommandé de ne pas payer. L’attaque avait eu lieu en novembre dernier, après qu’un employé lambda s’est fait piéger en téléchargeant un fichier PDF.

L’entreprise a décidé d’éteindre tous les serveurs et a appelé son assureur dans la foulée. Ce groupe, fort de 75 000 employés, a perdu plusieurs centaines de milliers d’euros, d’abord avec la cyberattaque et ensuite avec la refonte du système informatique. Quelques semaines plus tard, le groupe commence à comprendre que l’indemnisation n’est pas une garantie.

« On a beaucoup de problèmes avec les équipes légales de l’assurance. Elles rallongent constamment les délais, reviennent nous voir à chaque fois pour un nouveau détail, parfois sur des sujets qui n’ont rien à voir avec l’accident. On a l’impression qu’ils jouent la montre. Pourtant, les attaques par rançongiciel sont bien incluses dans le contrat », nous raconte le responsable sécurité informatique de l’entreprise.

« C’est un grand groupe d’assurance et nous sommes certains que nous n’allons pas reconduire le contrat. Néanmoins, nous continuons à payer mensuellement, car nous ne voulons pas le rompre, dans l’espoir d’être indemnisés », nous confie-t-il.

Un projet de loi pour encadre le paiement de rançon

Les histoires comme celles-ci sont courantes. Cybereason, une société spécialisée dans les technologies de cybersécurité nous indique que de nombreux clients se tournent vers elle après un rançongiciel. « Les attaquants mettent la pression sur la victime en proposant une première somme et menacent d’augmenter le prix de la rançon si l’entreprise ne paye pas tout de suite », nous raconte Joël Mollo Directeur général France de Cybereason. « Dans mes souvenirs, aucune des victimes n’a obtenu un remboursement total de la somme avancée

Un projet d’article a laissé entrevoir la possibilité d’un cadre juridique pour le paiement de rançon. Déposé le 16 mars dernier, le texte veut conditionner le remboursement par l’assurance à un dépôt de plainte dans les 48 heures de la victime. « Ce n’est pas la meilleure réponse à cette pratique. Ce projet de loi ne fera qu’encourager l’industrie du crime », analyse le responsable de la sécurité informatique du groupe touché.

Aux États-Unis, on fait le choix inverse : plusieurs États ont proposé d’inscrire l’interdiction du paiement dans la loi dans le but de stopper l’hémorragie que subissent les entreprises du pays. En 2021, le montant moyen versé par les victimes était de 500 000 euros en moyenne.