ICTjournal 05/2021

36 cybersécurité

36 cybersécurité assurances Les cyber-assurances couvrentelles le paiement de rançons? Une organisation qui s’acquitte de la rançon après une attaque par ransomware compte sans doute sur sa cyber-assurance. En Suisse, certains assureurs couvrent (partiellement) ces paiements. Même si les entreprises devraient tout faire pour ne pas en arriver là. Rodolphe Koller, Coen Kaat Il suffit de cliquer une fois sur un e-mail frauduleux pour se faire infecter. Et si aucun malware n’est à prendre à la légère, les ransomwares sont particulièrement redoutables. Une fois leurs systèmes cryptés et leur activité paralysée, les entreprises sont susceptibles de se conformer rapidement à une demande de rançon, d’autant plus si elles ont une cyber-assurance et espèrent se faire rembourser leur versement. Au point qu’il est parfois reproché aux assureurs de faire le jeu des hackers et que certains assureurs préfèrent renoncer à couvrir ce type de frais, à l’instar d’AXA France. «En principe, nous déconseillons de payer une rançon.» Pierre Mitschi, responsable du domaine cyber-asssurance pour la clientèle entreprises chez Bâloise « Les paiements de rançon ne sont assurés que si un examen et une discussion conjoints ont eu lieu au préalable. » Carlos Casián, expert cyber chez Allianz Suisse Les assureurs qui paient Qu’en est-il en Suisse? Les cyber-assurances couvrentelles le paiement de rançons? Axa Suisse explique que ces remboursements sont assurables en tant que couverture supplémentaire sur demande explicite du client, dans le cadre d’une cyber couverture complète. «A ce jour, Axa Suisse n’a toutefois jamais donné suite à de telles revendications et s’efforcera d’éviter autant que possible de le faire à l’avenir», indique la société. Elle continue également à surveiller l’évolution de l’environnement réglementaire en matière de ransomware. La plupart des assureurs qui proposent une couverture cyber aux entreprises en Suisse sont du même avis. «Les paiements de rançon ne sont assurés que si un examen et une discussion conjoints ont eu lieu au préalable et que toutes les options possibles ont été évaluées», explique ainsi Carlos Casián, expert cyber chez Allianz Suisse. En règle générale, les paiements jusqu’à 50% de la somme assurée choisie sont couverts. La Bâloise est du même avis. Avec son produit cyber pour les PME, les clients peuvent, en option, assurer les rançons avec une limite spécifique (sous-limite). «Si le montant de la rançon se situe en deçà de la sous-limite, il serait entièrement indemnisé et dans le cas contraire, jusqu’au montant de la sous-limite», explique Pierre Mitschi, responsable du domaine cyber-asssurance pour la clientèle entreprises chez Bâloise. Le client peut fixer lui-même cette sous-limite – par tranches de 10 000 francs, jusqu’à 50 000 francs maximum. À titre de comparaison, la rançon moyenne payée suite à un ransomware s’élèverait à 170 000 dollars, mais le montant le plus fréquent serait de 10 000 dollars, selon une étude de Sophos. Allianz et la Bâloise considèrent toutefois que le paiement d’une rançon devrait être réservé à des cas exceptionnels. «En principe, nous déconseillons de payer une rançon, explique Pierre Mitschi de la Bâloise. Le paiement d’une rançon est donc une mesure extrême voire la dernière mesure dans le traitement d’une «demande d’indemnisation». 05 / 2021 www.ictjournal.ch © netzmedien ag

cybersécurité assurances 37 L’assureur qui ne paie pas Une entreprise cliente de la Mobilière qui décide de répondre à la demande d’un ransomware devra en revanche payer elle-même la totalité du montant. «Notre cyberassurance ne comprend pas de couverture pour les paiements de rançons, explique Andreas Hölzli, responsable du centre de compétences en matière de cyber-risques de la Mobilière. Par conséquent, nous ne remboursons pas les rançons payées par l’assuré». L’assureur aurait décidé sciemment de ne pas inclure une telle couverture lorsqu’elle a développé son produit cyber à l’automne 2017. «Il n’y avait pas de demande à l’époque», explique Andreas Hölzli. La Mobilière n’exclut cependant pas de s’orienter dans la direction opposée à celle d’Axa. L’assureur indique qu’il observe le marché de très près sur le sujet. Andreas Hölzli ajoute que la Mobilière constate une demande croissante de couverture des ransomwares. Eviter de faire le jeu des criminels Certains représentants de l’industrie de la cybersécurité préféreraient probablement que la Mobilière s’en tienne à sa position actuelle. Notamment parce que le paiement d’une rançon ne conduit rarement à récupérer l’intégralité des données. Mais aussi parce que les assureurs peuvent faire le jeu des criminels. «Avec chaque paiement, ce type d’attaque est encouragé, indique un porte-parole d’Helvetia. Pour cette raison, nous déconseillons les paiements». La compagnie d’assurance considère que c’est «au client» de décider de répondre ou non à une demande de rançon. Helvetia les rembourse dans la limite convenue, à condition que les autorités aient été notifiées préalablement. «Notre cyberassurance ne comprend pas de couverture pour les paiements de rançons.» Andreas Hölzli, responsable du centre de compétences en cyberrisque de la Mobilière Les autres assureurs interrogés sont également conscients de ce problème. Pour Carlos Casián d’Allianz, l’objectif d’une compagnie d’assurance doit être ailleurs: «Dans l’hypothèse d’un paiement, l’accent est mis sur le maintien de l’entreprise qui se voit menacée dans son existence». «Si l’on se met cependant à la place de l’entreprise concernée, qui est de pouvoir accéder à nouveau à ses propres données le plus rapidement possible, il semble difficile de briser ce cycle», explique Mitschi de la Bâloise. Au lieu de cela, Zurich Insurance Group explique essayer de prévenir de telles situations avant qu’elles ne se produisent. L’assureur rembourse toutefois aussi les rançons, mais seulement dans des cas exceptionnels et à hauteur de 25% de la somme assurée. Publicité BOLL – un partenaire essentiel à la réussite « Avec notre plateforme de sécurité crowdsourced, nous innovons dans les tests de pénétration. Avec notre partenaire BOLL et ses puissants revendeurs, nous avons mis en évidence des points forts dans le Channel-Business. C’est la bonne combinaison pour un succès durable. » Stephan Rosche / Sales Director, Synack Grandir avec BOLL: Business Development / Sales Support / Transfert de savoir-faire BOLL Engineering SA . En Budron H15 / CH-1052 Le Mont-sur-Lausanne / Telefon +41 21 533 01 60 / contact@boll.ch BOLL Engineering AG . Jurastrasse 58 / CH-5430 Wettingen / Telefon +41 56 437 60 60 / info@boll.ch / www.boll.ch www.ictjournal.ch © netzmedien ag 05 / 2021