La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ?

C. INTERDIRE LE CARACTÈRE ASSURABLE DES RANÇONS À DES CYBERCRIMINELS

1. Une évaluation et un cadre incertains

En 2018, le marché mondial de la cyberassurance était estimé entre 3 et 3,5 milliards de dollars . Le marché américain capte 85 à 90 % de ces primes. L'Europe, quant à elle, ne représente encore que 5 à 9 % de ce marché, soit un montant maximum de 255 millions d'euros (300 millions de dollars) de primes.

Les pertes couvertes par de ces contrats d'assurance ne s'élevaient en 2019 qu'à environ 5 milliards de dollars, alors que le coût économique annuel de la cybercriminalité est estimé à plus de 700 milliards de dollars. En comparaison, les pertes économiques totales dues aux catastrophes naturelles et d'origine humaine s'élevaient à environ 140 milliards de dollars, dont 56 milliards de dollars assurés. Ces chiffres montrent le potentiel inexploité du marché de la cyber-assurance ; cette activité qui constituera dans la décennie à venir l'un des principaux moteurs de croissance pour les assureurs des marchés développés , où les branches traditionnelles, telles que l'assurance automobile ou habitation, sont largement saturées. En particulier, les primes de cyber-assurance pourraient augmenter de 20 à 30 % par an en moyenne, poussés notamment par la demande des petites et moyennes entreprises.

En France , en 2020, l'encaissement des primes d'assurance en cybersécurité s'élève à 130 millions d'euros alors que le marché de l'assurance non-vie représente, par comparaison, 59 milliards. Il est en forte progression puisque l'encaissement représentait 87 millions en 2019. Cependant, cette augmentation de 49 % est inférieure à la progression des indemnisations versées qui ont été multipliées par trois en une année, passant de 73 à 217 millions. Le ratio sinistres/primes a donc doublé, passant de 84 à 167 % ^{204 ( * )} . Toutefois, ce bond est dû à seulement quatre sinistres de haute intensité concernant des grandes entreprises. Sans ces derniers, le volume de sinistralité eût été identique.

Le pourcentage d'entreprises ayant déclaré être assurées contre les incidents de sécurité augmente proportionnellement à la taille de l'entreprise. Si 87 % des grandes entreprises déclarent en avoir une, pour une couverture de 38 millions en moyenne ce qui est trop limité, seulement 8 % des ETI déclarent avoir souscrit à une telle assurance, pour une couverture moyenne de 8 millions ^{205 ( * )} .

Les PME, pour leur part, ignorent presque totalement les assurances du risque cyber . En 2020, seulement 362 des 140 000 PME réalisant entre 10 et 15 millions de chiffre d'affaires ont souscrit une telle assurance ^{206 ( * )} . Leur taux de couverture est marginal avec seulement 0,0026 %... Le coût d'indemnisation pour une PME est de 40 000 euros en moyenne.

Les cyber-assurances prennent en charge trois risques :

- l'assistance à la gestion de crise ;

- l'évaluation des dommages sur les biens afin de reprendre une activité le plus rapidement possible ;

- l'atteinte à la confidentialité des données ou à la vie privée de tiers en cas de divulgation publique des données personnelles, dans le cadre du Règlement général sur la protection des données (RGPD).

Pour un assureur, les PME n'ont pas le réflexe assurantiel en matière de cybersécurité ^{207 ( * )} : « les PME se pensent trop souvent à l'abri du danger car elles ont déjà pris des mesures d'ordre technique (logiciels, pare-feu...) qu'elles estiment, à tort, imparables. Cela va prendre encore du temps pour que le réflexe cyber-assurance s'impose au sein des petites entreprises malgré mon rôle de conseil. Il est regrettable qu'une police d'assurance soit souscrite après que l'incident ait eu lieu, c'est pourtant mon quotidien ». Par ailleurs, selon Oliver Wild de l'AMRAE ^{208 ( * )} , les PME « se sont vues contraintes au saut numérique, auquel s'ajoute la nécessité d'un nouvel investissement financier et humain dans l'assurance cyber. Les PME doivent prendre conscience à la fois de leur dépendance numérique et de la nécessité de la sécurité numérique ».

2. Un marché assurantiel risqué mais attractif

Les assureurs sont les premiers à s'interroger sur le caractère assurable du risque ^{209 ( * )} , lequel présente certaines spécificités.

En effet, un cumul des engagements est possible si un même événement est susceptible de causer de multiples sinistres au titre de diverses polices chez de multiples assurés à travers le monde : « Si Google, Amazon ou OVH étaient touchés par un malware, que se passerait-il ? Si nous avons dix assurés qui sont hébergés par le même prestataire et que ce dernier connaît des difficultés de type cyber, nous pourrions avoir à payer dix fois la perte d'exploitation propre à chaque risque » estime un autre assureur ^{210 ( * )} . Le cyberrisque doit par ailleurs être identifié de manière autonome alors qu'actuellement des contrats traditionnels existants ^{211 ( * )} peuvent couvrir des cyberrisques sans que ceux-ci aient été identifié comme tels ni pris en compte dans la tarification des contrats traditionnels par l'assureur.

Globalement, le modèle assurantiel global n'est pas stabilisé . Selon le président de l'AMRAE : « avec un taux de couverture des entreprises et un volume de primes encore trop limités, les assureurs ne parviennent pas à trouver les conditions de la mutualisation indispensable au règlement des sinistres de forte intensité » ^{212 ( * )} .

Si la cyberattaque est liée à un risque de guerre , elle est non assurable selon l'article L. 121-8 du Code des assurances ^{213 ( * )} . Or, il est parfois difficile de distinguer une cyberattaque résultant d'un conflit et une simple attaque malveillante. Une rumeur de `guerre informatique' pourrait bloquer l'indemnisation même si retrouver l'origine d'une attaque est actuellement pratiquement impossible. Inversement, la construction d'un régime assurantiel s'apparentant à celui des catastrophes naturelles en cas d'attaque systémique ^{214 ( * )} pourrait transférer l'indemnisation finale du préjudice à l'État . Lorsque le fait générateur de la cyberattaque est le terrorisme , le mécanisme de la co-réassurance assuré par le GAREAT ^{215 ( * )} s'applique dans les conditions suivantes :

- si la cyberattaque de nature terroriste provoque un dommage direct ^{216 ( * )} , le GAREAT couvre ces dommages ;

- si elle provoque une perte d'exploitation sans dommage direct, le GAREAT n'interviendra pas, même si le bien affecté par l'attaque est couvert en risque incendie ;

- si elle provoque une atteinte aux données, le GAREAT prend en charge le remplacement d'un support irrémédiablement corrompu et techniquement irréparable mais non si le support est techniquement réparable. Dans ces conditions, la restauration des données est en effet considérée comme la conséquence d'un dommage immatériel.

Rédigé en janvier 2018 au sein du Club des juristes mais avec le soutien de la Fédération française de l'assurance, le rapport « Assurer le risque cyber » estimait ainsi ce dernier « à la frontière de l'assurabilité », en raison de son coût croissant notamment avec un scénario de « cyber-hurricane » ^{217 ( * )} qui « pourrait atteindre des niveaux jamais atteints précédemment et mettre en danger la solvabilité d'un ou de plusieurs assureurs ».

Cette inquiétude a conduit l'Autorité de contrôle prudentiel et de régulation, à lancer ^{218 ( * )} un avertissement , en considérant que : « si les contrats dédiés au cyber risque sont pour le moment peu développés, les organismes ne mesurent pas encore suffisamment leur exposition, notamment à travers les garanties implicites contenues dans les contrats en cours ». Pour la Fédération française des assurances, la situation s'est depuis améliorée, et les entreprises d'assurance qui font partie du groupe de travail cyber de la FFA ont confirmé « avoir réalisé un travail précis de l'exposition de leur portefeuille au risque cyber. Elles ont toutes travaillé sur l'identification de leurs expositions aux garanties non affirmatives, à la fois pour faire payer le juste prix du risque à leurs assurés, mais également et surtout afin de mieux maîtriser leurs cumuls d'engagements » ^{219 ( * )} .

Certains acteurs majeurs de l'assurance, tel Swiss Re ^{220 ( * )} , affirment cependant que le cyberrisque dépasse la capacité d'absorption du marché et que ceux « liés à des événements dommageables extrêmes ou catastrophiques, tels que la perturbation d'infrastructures ou de réseaux critiques, pourraient demeurer inassurables » compte tenu de l'interdépendance des systèmes informatiques qui démultiplie les probabilités de propagation de certains types d'incidents cyber.

En outre, ce marché pourrait être rapidement sélectif , les assurances privilégiant les entreprises qui ont réalisé les analyses de leurs risques et mis en place des process de sécurisation numérique, et refusant d'assurer ou d'indemniser celles qui ont négligé leur cybersécurité.

Toutefois, le marché reste attractif et, pour sécuriser et gagner des clients, les plateformes pourraient proposer directement une assurance. Ainsi, l'alliance conclue en mars 2021 entre Google Cloud, Allianz Global Corporate and Specialty (AGCS) et Munich Re intègre des services de cyberassurance dans les services de cloud computing .

«  Un manque cruel de données, des données peu fiables et un risque qui est toujours en train d'évoluer, stable ni du point de vue réglementaire, ni du point de vue technique : le risque cyber est un casse-tête pour l'actuaire et les assureurs  » selon un actuaire ^{221 ( * )} .

Les assureurs sont d'autant plus prudents que la cybersécurité est intrinsèquement difficilement assurable. L'historique des sinistres, encore mal connu, leur manque et rend difficile la fixation de leurs tarifs. L'évolution perpétuelle des cyberattaques rend les données historiques inaptes à prévoir les futurs risques. L'absence de déclaration systématique d'une cyberattaque affectant une entreprise entraîne une sous-estimation de la sinistralité. Enfin, l'étendue du préjudice indemnisable est encore flou : le cyberrisque, inclut-il, du point de vue assurantiel, la perte d'exploitation, le patrimoine immatériel de l'entreprise comme le risque d'image, et permet-il de couvrir les sanctions d'une entreprise qui n'a pas déployé une cybersécurité suffisante ou méconnu ses obligations légales de protection des données ? Permet-il également de couvrir le paiement d'une rançon ?

3. Une pratique qui nourrit un écosystème criminel

Le paiement de rançons par des entreprises victimes d'un rançongiciel nourrit cet écosystème criminel.

Selon un assureur ^{222 ( * )} , 16 % des entreprises attaquées dans le monde ont subi une attaque par rançongiciel et 58 % des entreprises concernées ont versé une rançon, soit pour récupérer des données, soit pour empêcher la publication d'informations sensibles. Ce sont les entreprises américaines les plus promptes à payer puisque 71 % en auraient versé. Certains interlocuteurs relativisent cette pratique, et estiment que seules 5 % des entreprises auraient payé en 2020.

Payer attire également les répliques , de nouvelles attaques ciblant les entreprises qui ont payé. Pour le CERT : « Si à court terme, payer la rançon est le moyen le plus simple et souvent le moins cher de recouvrer ses données, cela ne garantit en rien qu'une attaque de la part du même groupe cybercriminel ou d'un État de la menace rançongiciel autre ne surviendra pas un autre jour. L'éditeur de Sophos mentionnait dans un rapport de janvier 2018 que la moitié des victimes de rançongiciels l'étaient plusieurs fois » ^{223 ( * )} .

Payer nourrit un écosystème trouble . Comme le souligne le CERT : « certaines sociétés se sont également développées autour de ce paiement des rançons en proposant des services de négociation et de médiation entre la victime et l'attaquant. C'est le cas notamment de la société Coveware qui procède en toute transparence ^{224 ( * )} . Toutefois, certaines sociétés camouflent le fait qu'elles payent la rançon en prestations de déchiffrement des fichiers à l'aide d'expertise technique interne. Pire, certaines de ces sociétés ont également développé des liens parfois étroits avec des groupes cybercriminels, notamment GandCrab, afin d'accéder à des réductions des rançons. Cette gestion du risque par le développement d'une économie autour du paiement des rançons est un phénomène inquiétant. Il valide pleinement le modèle économique développé par les attaquants, les assurant d'un plus grand nombre de paiements des rançons ».

4. Un paiement sans garantie de résultat

En cas de cyberattaque, dans la pratique, les entreprises consacrent en priorité leurs efforts à la restauration de leur système informatique. Elles sont nombreuses, notamment les PME, à vouloir payer une rançon pour le restaurer dans les meilleurs délais. Or, le paiement d'une rançon ne permet pas toujours d'obtenir le déchiffrement des données.

L'ANSSI recommande de ne pas payer la rançon , laquelle ne garantit pas à l'entreprise de pouvoir récupérer ses données :

Le Haut comité juridique de la place financière de Paris a été missionné en début d'année par la direction générale du Trésor pour apporter des recommandations à ce sujet. Il devrait rendre ses conclusions le 29 septembre 2021.

5. Une interdiction du caractère assurable des rançongiciels

Dans une directive publiée le 1 ^er octobre 2020 par le ministère du Trésor américain ^{225 ( * )} , le gouvernement des États-Unis indique que des sanctions pourront être envisagées, dans certaines conditions, pour les entreprises qui paient une rançon suite à une attaque de rançongiciel . Compte-tenu de la portée extraterritoriale que les États-Unis entendent donner à leur législation économique, notamment avec le Clarifying Lawful Overseas Use of Data (CLOUD) Act de mars 2018 ^{226 ( * )} , les entreprises européennes et françaises sont potentiellement concernées dès lors qu'elles ont un rapport soit avec le marché ou la monnaie américaine, soit avec une procédure judiciaire américaine ^{227 ( * )} . Cette recommandation n'interdit cependant pas le paiement, fréquemment pratiqué par les entreprises américaines.

Aucun pays dans le monde ne rend illicite le paiement d'une rançon et son caractère assurable , même si les autorités publiques font pression sur les entreprises pour ne pas les payer ^{228 ( * )} . Les entreprises payent en ultime recours, lorsque leur survie est en jeu, ou lorsque l'intérêt national est impacté, tel a été le cas par exemple de l'alimentation énergétique du nord-est des États-Unis lors de l'affaire de l'oléoduc Colonial Pipeline. Dans ce dernier cas, l'autorisation des autorités publiques est sous-jacente.

En France, le paiement des rançons n'est pas actuellement interdit. « Leur assurabilité est sujette à caution » selon la Fédération française des assurances ^{229 ( * )} , qui « réclame depuis de nombreuses années un éclaircissement sur l'assurabilité des rançons. Aucune position ni de l'ACPR, ni de la DG Trésor ni du législateur, n'est venue répondre à cette question. La seule réponse claire concerne le financement du terrorisme qui est interdit » ^{230 ( * )} .

Un simple communiqué du ministère des Finances de décembre 2015 a en effet clairement prohibé « les contrats d'assurance, dont l'objet est de garantir le paiement d'une rançon à Daech , comme à toute entité terroriste » et pour encourager « l'insertion de clauses dans les contrats d'assurance “kidnapping et rançon” excluant le remboursement ou le paiement d'une rançon, directement ou indirectement, via des intermédiaires, qui bénéficieraient à Daech ». Cependant, il est souvent difficile de connaître l'auteur d'une cyberattaque et d'identifier l'origine terroriste ou non d'un incident. « Sauf à pouvoir démontrer qu'un piratage a été réalisé par une organisation terroriste, il demeure un vide juridique quant à la légalité de l'assurabilité des rançons » considère la FFA.

Or, les actifs numériques apparaissent comme une source croissante de financement du terrorisme .

C'est pourquoi l'ordonnance n°2020-1544 du 9 décembre 2020 renforçant le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme applicable aux actifs numériques renforce la lutte contre l'anonymat des transactions en actifs numériques et tire toutes les conséquences de l'absence d'harmonisation du cadre européen en la matière en incluant les prestataires de services sur actifs numériques parmi les entités ayant l'interdiction de tenir des comptes anonymes et en confirmant l'obligation, introduite par la loi PACTE, d'enregistrement préalable pour les acteurs étrangers désireux de cibler le marché français en libre prestation de services. Ces mesures seront complétées par des dispositions réglementaires portées dans un décret sur le gel des avoirs qui permettront de renforcer significativement les obligations d'identification préalable dans le cadre des transactions occasionnelles réalisées par les prestataires de services sur des actifs numériques français. Ce cadre national particulièrement exigeant devrait être promu, dans les prochains mois, dans le cadre de la réforme européenne du dispositif réglementaire et de supervision de l'Union, aujourd'hui incomplet.

Dans cette logique, interdire le caractère assurable des rançongiciels est une nécessité bien que ce soit les entreprises les plus conscientes du cyberrisque qui sont les premières à s'assurer. On peut craindre en revanche qu'assurer un cyberrisque n'inciterait pas l'entreprise à prendre des mesures de cyberprotection adaptées. La nécessité d'une solvabilisation du marché de l'assurance doit également être prise en considération.

Cependant, interdire aux assureurs français de proposer ce type d'assurance créerait une distorsion de concurrence avec les autres assureurs européens qui y sont autorisés. Cette interdiction devrait donc procéder d'un Règlement européen voire d'un amendement à la convention de Budapest de 2001 , qui est en cours d'actualisation. L'adhésion des États-Unis depuis 2007 à cette convention sur la cybercriminalité en fait l'instrument le plus adapté pour apporter une réponse coordonnée à cette question.

Cette interdiction devrait conduire à prohiber également l'assurabilité des sanctions administratives en cas en cas de violation de la réglementation sur la protection des données à caractère personnel, qui divise la jurisprudence comme la doctrine.

---

* ²⁰⁴ Source : « Lumière sur la cyberassurance », AMRAE, mai 2021.

* ²⁰⁵ Idem.

* ²⁰⁶ L'étude précitée indique toutefois que : « ce chiffre est sans doute sous-estimé car elles peuvent aussi souscrire ce type de garanties auprès d'un agent général d'assurance, ou d'un courtier de proximité ».

* ²⁰⁷ Julien Nelkin, Agent Général Aviva et gérant de JNK Assurances , Forbes, 29 septembre 2020.

* ²⁰⁸ A ssociation pour le M anagement des R isques et des A ssurances de l' E ntreprise est l'association professionnelle de référence des métiers du risque et des assurances en entreprise. Elle rassemble plus de 1500 membres appartenant à plus de 750 organisations privées ou publiques. Audition du 18 mars 2021.

* ²⁰⁹ Allianz Global Corporate & Specialty SE (AGCS), assureur en risques industriels et risques de spécialité du groupe Allianz, s'est ainsi associé en 2017 à la société américaine Cyence pour renforcer ses capacités d'analyse des cyber-risques à l'échelle mondiale.

* ²¹⁰ Jérôme Chartrain, souscripteur cyber chez Allianz Global Corporate & Specialty (AGCS), Institut des Actuaires, 20 septembre 2018.

* ²¹¹ Dénommés « silent cover » ou « garanties silencieuses ».

* ²¹² « Lumière sur la cyberassurance », AMRAE, mai 2021.

* ²¹³ « L'assureur ne répond pas, sauf convention contraire, des pertes et dommages occasionnés soit par la guerre étrangère, soit par la guerre civile, soit par des émeutes ou par des mouvements populaires. Lorsque ces risques ne sont pas couverts par le contrat, l'assuré doit prouver que le sinistre résulte d'un fait autre que le fait de guerre étrangère ; il appartient à l'assureur de prouver que le sinistre résulte de la guerre civile, d'émeutes ou de mouvements populaires ».

* ²¹⁴ En juillet 2018, Stefan Golling, responsable de la souscription entreprise de Munich Re, déclarait ainsi que sa société ne voulait pas assurer certains aspects du cyberrisque à l'instar d'une « panne généralisée de réseaux externes, tels que l'électricité, les télécommunications ou l'infrastructure Internet ».

* ²¹⁵ Groupement d'Intérêt Économique, créé fin 2001, dont l'objet est la mise en place d'un programme de réassurance au nom et pour le compte de ses adhérents dont il est mandataire, pour le transfert des risques de terrorisme dont la couverture est obligatoire en application de l'article L.126-2 du Code des assurances.

* ²¹⁶ Par exemple, si un malware affecte le système de sécurité d'un process industriel, ce qui provoque un incendie et une perte d'exploitation.

* ²¹⁷ Incident cyber majeur, prenant par exemple pour cible des infrastructures critiques qui ont par nature une grande capacité de diffusion.

* ²¹⁸ Dans un communiqué du 12 décembre 2019.

* ²¹⁹ Réponse au questionnaire de la Délégation aux entreprises, 13 avril 2021.

* ²²⁰ Deuxième société mondiale de réassurance après Munich Re.

* ²²¹ Florian Pons, actuaire qualifié, ingénieur Supélec, est membre du groupe de travail Big Data et Cyber-risk de l'Institut des actuaires : « Cyberassurance : digérer la part de risques ». Institut des actuaires, 20 septembre 2018.

* ²²² Rapport Hiscox sur la gestion des cyber-risque, du 17 avril 2021, précité.

* ²²³ « État de la menace rançongiciel à l'encontre des entreprises et institutions », 5 février 2020.

* ²²⁴ La société américaine prétend que cette transparence contribue à la cybersécurité : « Nous pensons que les entreprises de récupération de données qui dissimulent leurs méthodes sont malhonnêtes et que les victimes méritent une expérience fondée sur l'honnêteté, la transparence et l'équité ».

* ²²⁵ Publiée en annexe du présent rapport.

* ²²⁶ Le CLOUD Act réaffirme la capacité du droit américain à s'appliquer, en matière numérique, peu importe le territoire. Il permet, en particulier à la justice américaine, munie d'un simple mandat, d'exiger auprès des entreprises technologiques établies aux États-Unis la transmission des données de communications d'un utilisateur stockées sur des serveurs appartenant ou étant opérés par l'entreprise, où qu'ils se trouvent, sans en informer l'individu en question.

* ²²⁷ Voir le rapport d'information de M. Philippe Bonnecarrère, fait au nom de la commission des affaires européennes du Sénat, n° 17 (2018-2019) du 4 octobre 2018, sur l'extraterritorialité des sanctions américaines.

* ²²⁸ M. Chrisitian Delcamp, Fédération Française de l'assurance , audition du 3 juin 2021.

* ²²⁹ « Assurer le risque cyber », rapport de janvier 2018.

* ²³⁰ Réponse au questionnaire de la Délégation aux entreprises, 13 avril 2021.