Le remboursement des cyber-rançons ne convainc pas tous les assureurs

La décision agite le monde du cyber en France. En se positionnant en faveur du remboursement des cyber-rançons par les assureurs sous la condition d’un dépôt de plainte dans un délai de 48 heures après le paiement, d’abord dans le projet de loi d’orientation et de programmation du ministère de l’intérieur 2022-2027 (Lopmi) puis dans le rapport sur le développement de l’assurance cyber de la Direction générale du Trésor, l’exécutif a le mérite d’avoir clarifié la situation pour les assureurs. Axa France, qui avait mis en suspens sa garantie cyber-rançonnage mi-2021, attend par exemple le vote de la Lopmi, actuellement en discussion au Sénat, pour la réintégrer à ses contrats, ont confirmé plusieurs sources à L’Agefi. La compagnie avait ajouté cette option en 2020 sur son produit créé en 2014.

«Pour le moment, la commercialisation de l’option cyber rançonnage du contrat Cyber Secure est toujours suspendue», affirme Axa, qui attend d’éventuels amendements concernant les modalités d’application. D’autres, comme Stoïk ou Generali France, ne suivront pas le même exemple. «Generali France considère que les discussions en cours ne sont pas de nature à entraîner une modification de sa politique d’indemnisation des cyber-rançons», explique Bernard Duterque, directeur de la souscription des risques spécialisés. La compagnie, qui a fait le choix de ne pas payer les rançons depuis le lancement de son produit en 2017, rappelle qu’un tiers des entreprises ayant payé une rançon sont attaquées à nouveau dans les mois qui suivent.

La position des autorités publiques est loin de faire l’unanimité. Du côté des entreprises, l’Association pour le management des risques et des assurances de l’entreprise (Amrae) conseille à ses membres de ne pas payer les rançons. Les professionnels de la cybersécurité sont aussi clairement contre, à l’image de Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Dans un sondage mené auprès de ses membres, le Club des Experts de la Sécurité de l’Information et du numérique (Cesin) rapporte que 82% des répondants se déclarent contre la position de Bercy. Certains critiquent même «le lobby des assureurs» derrière cette décision. Outre la pression des entreprises, pour qui payer la rançon est souvent une question de vie ou de mort, plusieurs d’entre eux soulignent qu’il aurait été impossible, sans cette disposition, d’évoluer face à la concurrence des assureurs anglo-saxons.