À quel point la cyberassurance fait-elle le jeu du ransomware ?
Le coût des attaques, et en particulier des pertes d’exploitation, pèse fortement sur les capacités des assureurs. De quoi parfois encourager au paiement de la rançon. Un effet structurel pervers appelé à évoluer.
Ils sont régulièrement appelés à intervenir pour aider des victimes de ransomwares à s’en relever. Et de temps à autre, ils ne sont pas tendres avec les assureurs, déplorant des encouragements à payer la rançon demandée pour accélérer la remise en route. Et tant pis si simplement déchiffrer ou restaurer, sans un nettoyage en profondeur, n’est pas suffisant avec les rançongiciels les plus dangereux. Certains ont pu le constater, à l’instar tout récemment du Britannique Amey, avec l’attaque revendiquée par les opérateurs de Cl0p mi-janvier, alors que ceux de Mount Locker l’avaient déjà fait fin décembre.
Quelques fins connaisseurs de la cyberassurance ont accepté d’évoquer le sujet avec nous, sans faux-semblant. Mais anonymement, toutefois. Leurs regards convergent sur un point : « qu’il y ait des pressions pour payer. C’est possible, car les garanties sont trop limitées par rapport au risque réel ». Et d’illustrer : pour une entreprise qui fait 10 Md€ de chiffre d’affaires, une garantie de perte d’exploitation de 20 M€ est consommée en même pas une journée. Dès lors, l’assureur va couvrir la perte d’exploitation ou le paiement de la rançon, en espérant que ça se passe bien et permette de relancer rapidement l’entreprise, « ça ne change pas grand-chose, sachant que, de toute façon, les 20 M€ seront versés ».
Mais attention, il n’est que rarement question de couvrir explicitement le paiement de la rançon : « oui, on peut faire passer dans les frais d’investigation et de reconstruction, en faisant appel à un tiers. Mais il y a aussi des garanties de frais supplémentaires non désignés ». Et là, « on peut faire passer tout ce que l’on veut », assure l’un de nos interlocuteurs.
Un rendez-vous manqué ?
Fin 2015, Raythen-Websense (devenu peu après Forcepoint) s’attendait à ce que les demandes d’assurance contre les risques informatiques conduisent à uneamélioration des pratiques de sécurité des entreprises. D’autres ont également anticipé une telle évolution. Mais pour l’un de nos experts, cela relève quasiment du « romantisme de mauvaise foi ».
Et pourquoi cela ? « Dans les faits, les assureurs posent des questions forcément très simples, parce qu’à défaut, ils posent des questions compliquées dont ils ne comprennent pas la réponse. Ou alors les questions sont tellement mal posées que le client ne les comprend pas ». Dès lors, « le niveau de technicité des questions est très bas ». Le parcours d’un questionnaire d’assurance cyber d’une victime de ransomware, au début de l’été, nous avait d’ailleurs largement surpris. Et pourtant, il provenait de l’un des leaders du marché.
Le sujet n’est en fait pas nouveau. En 2018, la fédération française de l’assurance rappelait à quel point l’évaluation du risque constitue un casse-tête. De quoi laisser à penser que, si elle n’est pas parfaite, la notation de la posture de sécurité est bel et bien appelée à se développer. Quelques acteurs s’y essaient tout de même, ne serait-ce que pour répondre au besoin d’assurances, entre autres. Il faut compter là avec Bitsight, Citalid, Cynet, Cyrating, mais aussi Almond (né de la fusion de Provadys et NetXP en 2019) avec sa plateforme Security Rating, et Weakspot, ou encore Cyence, Cytegic, Cyquant et SecurityScorecard. Et l’on attend de voir ce que préparent Moody’s et Team8, avec VisibleRisk.
Mais l’un des experts qui ont accepté de partager sans voile leur regard n’est pas tendre avec la posture réelle des entreprises : « la progression de la sinistralité – que mettent en lumière vos chiffres et ceux d’Acyma – montre que la défense est moins bonne que l’attaque. On progresse moins vite que les attaquants, donc on est mauvais ».
Un effet structurel pervers
Et pour lui, c’est bien simple, à court terme, « on va buter sur l’inassurable ». Car de sources multiples, « le renouvellement se passe globalement très mal ». Avec des primes qui gonflent rapidement, ou des garanties qui reculent rapidement. Pour nos experts, il y a une raison toute simple à cette situation : la taille du marché, rapportée au coût des sinistres.
« Le marché français, c’est autour de 500 M€. À 30 M€ sur un sinistre, en perte d’exploitation, c’est vite vu : on ne va pas loin ». Et d’expliquer que, « quand les assureurs sont confrontés à quelque chose qui ne leur plaît pas, ils résilient ce qui leur fait peur, et ils baissent leurs capacités ». Et selon lui, le mouvement est déjà engagé : « en 2015, la capacité était de l’ordre de 50 M€ par assureur. On va vers un dixième de cela. On ne va plus pouvoir donner des garanties, ou alors seulement des garanties qui n’ont aucun sens ».
Las, cela risque de mécaniquement encourager à payer la rançon… en priant pour que tout se passe bien, rapidement. Mais cela ne va pas aider pour encourager à procéder aux nettoyages en profondeur, nécessaires après un passage de rançongiciel : « c’est l’insuffisance de dimensionnement qui crée ces biais », nous explique-t-on.
Pour comprendre cette situation, il faut revenir aux origines de la cyberassurance, outre-Atlantique, il y a quelques décennies, « dans la branche des spécialités, des garanties plutôt de niche en général très rentables ». Et l’un de nos interlocuteurs de donner un exemple : « la responsabilité civile des mandataires sociaux. Cela fait très peur à tout le monde, mais il y a très peu de cas. Donc c’est très très rentable ».
En outre, si les assureurs européens ont historiquement refusé de couvrir le risque d’extorsion et, avec lui, le paiement de rançon, courant outre-Atlantique, ceux qui ont voulu s’exporter aux États-Unis n’ont guère eu de choix. Au final, selon l’un de nos experts, « en Europe, pour les PME, à part un ou deux assureurs, le message reste que l’on ne paie pas. Mais sur les grands comptes, c’est une autre histoire ».
Une période transitoire
Dans une recommandation récente, le Trésor américain menace ainsi de sanction les entreprises qui céderaient au chantage et paieraient la rançon, de leur propre initiative.
Mais la situation pourrait changer graduellement. Dans une recommandation récente, le Trésor américain menace ainsi de sanction les entreprises qui céderaient au chantage et paieraient la rançon, de leur propre initiative. En somme, « si vous voulez payer une rançon, il faut demander notre autorisation avant ». De quoi, pour nos interlocuteurs, « encourager les attaquants à se reporter sur des pays où une telle législation n’existe pas » et où la rançon pourrait être plus facile à obtenir. Alors pour l’un de nos experts, « il faudra une réplique à ça, en France et en Europe ».
Mais il relève aussi l’importance croissante du numérique dans tous les aspects de nos vies, avec la perspective de risques cyberphysiques. Là, « tous les risques auront une tarification tenant compte de l’événement logiciel », du cyber donc. Et dès lors, « il y aura mutualisation à grande échelle ». De quoi apporter la capacité nécessaire à la couverture des risques cyber.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
