Comment les ransomwares poussent à l’adoption de la cyberassurance

Norsk Hydro, Asco… les exemples récents d’entreprises victimes de ransomwares ne manquent pas. Et cela d’autant plus que la liste s’allonge quasiment chaque jour, dans le secteur privé comme dans le secteur public.

Récemment, les groupes Demant et RheinMetal ont ainsi dévoilé avoir été touchés. A la clé ? Au moins des pertes d’exploitation non négligeables. Le premier anticipe un impact négatif sur ses résultats de l’ordre compris entre 74 et 87 M€. Le second prévoit entre deux et quatre semaines de travail pour retrouver des conditions opérationnelles normales et… entre 3 et 4 M€ de pertes par semaine. Pour Matthieu Garin, chez Wavestone, de tels délais semblent relever de la norme pour les importantes crises cyber.

Face à cela, et sans doute dans l’espoir d’aller plus vite, certains décident de payer la rançon demandée, à l’instar de la commune de Riviera Beach, cet été. La démarche, loin d’être consensuelle, peut se faire avec l’aval, voire même l’aide, de l’assureur. Et pour certains, comme Fabian Wosar, directeur technique d’Emsisoft, c’est même parfois sous la pression de celui-ci : « payer la rançon était bien moins cher pour l’assureur », expliquait-il récemment à nos confrères de ProPublica au sujet d’un incident sur lequel il avait été amené à intervenir. Mais comme Fabian Wosar le souligne, l’outil de déchiffrement fourni n’a pas rempli ses promesses.

Mais si l’outil fourni contre rançon avait fonctionné, cela aurait-il changé quelque chose ? Du point de vue de l’assureur, peut-être… De celui de la posture de sécurité de l’organisation concernée, probablement pas. Récemment, Gérôme Billois, directeur associé de la practice cybersécurité de Wavestone, soulignait que « ça ne change pas grand-chose au final de payer, il faut quand même tout déchiffrer, réinstaller, relancer les systèmes, etc. » Car les enjeux de la reconstruction après une compromission par ransomware sont nombreux, et encore plus avec des menaces ciblées, complexes, dont le nettoyage n’a rien de trivial. Jérôme Saiz, d’Opfor Intelligence, le relevait ainsi récemment : dans une crise cyber, par rapport à un plan de reprise de l’activité classique, il faut tenir compte de la présence d’un assaillant. Accessoirement, Eurofins a récemment montré que payer la rançon n’est pas synonyme de reprise de l’activité à petit prix.

Le monde du stockage en a clairement pris conscience. Un nombre croissant d’acteurs de celui-ci développe des offres visant à tenir compte de ce nouveau défi, seuls, à l’aide de partenariats, comme récemment ARCserve, ou en misant sur des acquisitions.

Mais pour Marcus Hutchins, un chercheur britannique en sécurité informatique connu pour avoir aidé à éviter le pire avec WannaCry, « nous avons dépassé le point où les sauvegardes sont la solution contre les ransomwares. Aujourd’hui il y a de multiples groupes qui auditent manuellement votre réseau, détruisent les sauvegardes trouvées, puis [déploient] simultanément leur rançongiciel sur tous les systèmes, même dans les filiales ».

De fait, le risque ransomware, par l’ampleur de l’impact potentiel, plaide en faveur d’une prise en compte globale et pas seulement technique, avec la prévention, la remédiation, mais également la couverture assurantielle du risque résiduel. Mais si cette couverture par une assurance apparaît essentielle, encore convient-il de bien faire analyser sa couverture réelle en fonction des différents types de contrat. Et surtout, malheureusement, il ne va pas falloir en attendre non plus des miracles.

A l’occasion de la publication de ses résultats trimestriels en juin, Norsk Hydro s’est dit dans l’incapacité, à ce stade, d’avancer un montant d’indemnisation. Ramsay Générale de Santé, affecté par un ransomware cet été, indique que l’incident est couvert par l'assurance, mais sans avancer dans quelle mesure, à ce stade. Eurofins assurait de son côté que sa couverture assurantielle excédait ses estimations de pertes. Mais il faudra encore voir ce que cela donne dans la pratique. Et justement, dans le cas de Demant, l’impact financier négatif estimé aujourd’hui l’est… après déduction de l’indemnisation attendue.