2019 a été l’année du ransomware. Les avis sont partagés sur la question de payer la rançon ou non, et par rebond sur la question de l’indemnisation du paiement de la rançon par l’assureur.
Parmi ceux qui ne recommandent pas de payer, et de reconstruire son système d’information à partir de sauvegardes, figure Laurence Lemerle, directrice risques techniques et cyber chez Axa France : « La multiplication des ransomwares crée de l’intérêt pour des garanties liées au paiement ou au remboursement des rançons. Au-delà de la dimension morale (éviter de valider le modèle économique de criminels qui seront alors incités à intensifier leurs attaques), il faut cependant rappeler que, comme l’indiquent l’ANSSI ou cybermalveillance.gouv.fr, la meilleure protection contre les rançongiciels reste l’hygiène informatique (application systématique des correctifs de sécurité, formation des employés). En cas d’attaque effective, celle-ci sera dans une écrasante majorité des cas rendue inutile par une bonne politique de sauvegarde des données (régulière et déconnectée ou externe et testée). Ces mesures qui relèvent des bonnes pratiques n’impliquent pas d’investissement coûteux. »
Lari Lehtonen, responsable d’équipe cyber risques du courtier Marsh, ajoute : « Les groupes de hackers continuent de se professionnaliser et de créer des structures organisées. L’assurance, et en particulier l’assistance qui y est associée, aide énormément les sociétés à faire face à ces attaques, et à éviter la rançon ; dans tous les cas, payer n’est pas la bonne solution. »
D’autres se montrent plus nuancés, étudiant les situations au cas par cas. Ce dont les entreprises assurées ont le plus peur, c’est la perte d’exploitation. Payer la rançon, en permettant un redémarrage de l’activité plus rapide, doit limiter les pertes d’exploitation et d’autres frais, et donc les montants d’indemnisation par les assureurs… si la clef de décryptage est envoyée, ce qui n’est pas toujours le cas. Yves Fournier, directeur de clientèle et spécialiste du risque cyber chez Verspieren, donne un exemple concret : « Un de nos clients dont les sauvegardes étaient également contaminées a dû négocier la rançon, en la réduisant de 2 à 1,3 million d’euros. C’était une question de survie pour l’entreprise. Au total, le sinistre a coûté près de trois millions d’euros, notamment à cause des frais de reconstitution de données et de pertes d’exploitation. Quand néanmoins une entreprise décide de ne pas payer la rançon, réinstalle son système à partir de sa sauvegarde, elle donne un bon signal, celui d’être hermétique au risque. » Astrid-Marie Pirson, directrice technique de la souscription chez Hiscox France, indique : « Dans notre contrat, il est indiqué que nous payons les rançons, bien sûr si on ne peut pas faire autrement pour récupérer les données. Il faut être pragmatique : l’entreprise paye une assurance pour survivre. Notre partenaire Inquest s’occupe du paiement en bitcoins. »