Nouvel imbroglio autour d’un marché de l’assurance cyber qui a décidément du mal à se trouver. Un projet de loi, porté par le ministère de l’Intérieur et présenté devant le conseil des Ministres le 16 mars, a surpris son monde. En résumé, et pour faire simple : il n’est plus du tout question de non-paiement des rançons dans le cadre d’une attaque cyber. Au contraire, le texte envisage l’encadrement des remboursements de la part des assureurs, conditionné à un dépôt de plainte dans les 48 heures.
Cette annonce intervient alors que le discours ambiant des derniers mois semblait orienté vers une tout autre direction. En effet, de Guillaume Poupard, directeur général de l’ANSSI, à la députée Valéria Faure-Muntian, auteure d’un rapport remarqué sur le sujet, ils étaient plusieurs à tirer la sonnette d’alarme. Leur position : payer les rançons consiste à faire le jeu des pirates, et entretient une menace cyber dont la dimension systémique s’impose chaque jour un peu plus.
Le monde de l’assurance, de son côté, se montre toujours divisé sur la question cyber. Au cours des derniers mois, AXA puis Generali ont pris la décision d’exclure les ransomwares de leurs polices. Devant ce risque qui prend des allures incontrôlables, les assureurs prennent peur, manifestement. Une inquiétude qui pourrait même conduire le marché de l’assurance cyber vers le précipice à très court terme.
Suite à cette annonce, nous n’encourageons toujours pas à payer les rançons – nous ne les prenons d’ailleurs pas en charge -, mais nous invitons à porter plainte. Cette nouvelle orientation du gouvernement peut aider à avoir davantage de données historiques sur les ransomwares, et cela montre que la législation est en train d’évoluer sur le sujet, ce qui va dans la bonne direction selon nous.
Stoïk, insurtech française spécialisée cyber
C’est certainement aussi cette crainte qui justifie le soulagement des instantes représentatives. France Assureurs et Agéa ont notamment rapidement pris la parole. Les deux organismes se satisfont de l’implication des pouvoirs publics et de la perspective d’évoluer dans un cadre bien défini. Une chose est certaine : le secteur sait pertinemment qu’il ne pourra s’attaquer seul à un risque cyber qui le dépasse aujourd’hui à bien des égards. Il aura toujours un rôle déterminant à jouer, notamment en matière de prévention, qui s’impose comme une clé pour adresser ce défi. Pour le reste, un investissement et un accompagnement des gouvernements semble plus que jamais nécessaire.
