Alors que les entreprises continuent d’être les cibles privilégiées des cyberattaquants et qu’elles continuent de payer leurs rançons afin de limiter les dégâts, notre gouvernement tente d’apporter une réponse avec un rapport qui fait part de recommandations pour "lever les freins au développement en France d'un marché mature de la cyber assurance".

L'objectif est défini : en structurant le segment assurantiel, c'est tout l'écosystème numérique français qui pourrait devenir plus robuste grâce à une meilleure prévention.

Dans les grandes lignes, ce rapport parlementaire propose d'interdire aux assureurs de couvrir les rançons. L’argument fort du gouvernement au pouvoir : 

« Le paiement des rançons alimente la cybercriminalité et rien ne garantit que la rançon payée soit un gage de retour à la situation initiale, explique la députée de la Loire, Valéria Faure-Muntian (LREM). 

« Le paiement encourage même les cybercriminels à récidiver et en incite d'autres à concevoir des cyberattaques ».

Face à cette situation inédite, il peut être de bon augure de se demander s’il est préférable que les entreprises payent leurs rançons ou non. Loïc Guézo, Directeur stratégie cybersécurité SEMEA chez Proofpoint, examine cette proposition :

« Notre dernier rapport State of the Phish 2021 indique que 34 % des organisations ont choisi de payer les rançons, et ce malgré les mises en garde du gouvernement sur le sujet.

Cela signifie-t-il que la plupart des victimes optent pour des solutions rapides plutôt que pour un investissement à long terme dans la sécurisation de leurs actifs numériques ?

Nous pouvons certainement spéculer sur un certain nombre de facteurs qui auraient pu contraindre une organisation à payer une rançon en 2021. 

Les attaquants continuent de mettre leurs cibles sous pression, les menaçant non seulement de ne pas accéder aux données, mais aussi de les divulguer publiquement si les rançons ne sont pas payées.

Ce deuxième niveau d'extorsion pourrait ainsi entacher la réputation des décideurs dans certains cas. Et en tout état de cause, si une organisation n'a pas anticipé ou testé de manière approfondie une réponse à une infection généralisée par rançongiciel, elle prend le risque d’être contrainte à devoir payer la rançon afin de limiter les dégâts matériels dans un contexte d’urgence.

La réaction à une infection par un rançongiciel est propre à chaque type d’entreprise. L'ampleur de l'infection, l'impact sur les opérations et le montant de la rançon sont autant de facteurs susceptibles d'influencer la décision de gestion retenue de l’attaque. 

Mais une bonne pratique est de privilégier d’investir en amont sur le vecteur initial d’entrée par mail que sur la remédiation et le paiement des rançons. »