Cyberassurance et la question du ransomware

Les entreprises, peu importe leur taille, peuvent être victime d'une attaque informatique à tout moment. Face à ce risque, il faut renforcer la sécurité de son système d'information d'une part et sensibiliser et éduquer les utilisateurs d'autre part. En complément, et c'est de plus en plus fréquent, les entreprises souscrivent à ce que l'on appelle une cyberassurance : en quoi ça consiste ? La rançon d'une attaque par ransomware peut-elle être payée par l'assurance ? Tentons d'éclaircir le sujet.

Qu'est-ce qu'une cyberassurance ?

Cette solution qu'est la cyberassurance est de plus en plus populaire. Ce n'est pas surprenant, car le nombre d'attaques informatiques ne cesse d'augmenter et la majorité des entreprises ont des outils numériques.

Même si une entreprise effectue tous les efforts nécessaires pour se protéger contre les cyberattaques, il suffit d'une faille de sécurité ou de la négligence d'une personne, pour que tout bascule et que le pire arrive. Ces dernières années, les attaques par ransomwares sont particulièrement fréquentes et dévastatrices.

En fonction des effets de cet incident, il faut être capable de réagir aux conséquences. C'est à ce moment précis que peut intervenir la cyberassurance, puisqu'elle est là comme moyen de protection contre les effets de cet incident.

Son objectif est de minimiser l'impact sur l'entreprise, que ce soit sur l'activité de l'entreprise, mais aussi sur les coûts financiers. La police d'assurance peut couvrir la perte financière voire certains coûts financiers liés à l'attaque informatique et à la remise en service du système d'information.

Comme toute assurance, les contrats sont bourrés d'options et les clauses peuvent varier d'une police d'assurance à une autre. Il faut rester vigilant pour identifier ce qui est couvert, et ce qui ne l'est pas.

Par ailleurs, ce serait une erreur de se dire "ce n'est pas grave si on néglige la sécurité, car de toute façon nous avons une cyberassurance". C'est de la responsabilité de l'entreprise d'assurer la sécurité de son système d'information, et l'assurance n'empêchera pas les attaques informatiques.

Ransomware et la question du paiement de la rançon

Lorsqu'une entreprise subit une attaque informatique, elle est très souvent victime d'un rançongiciel (ransomware) ou d'une arnaque aux faux ordres de virement.

Quand un ransomware entre en action, il chiffre les données présentent sur les serveurs de l'entreprise (voire même sur les ordinateurs). Résultat, si l'entreprise n'a pas un système de sauvegarde fiable, elle peut tout perdre ! Enfin, sauf si elle paie la rançon ! En effet, en payant la rançon qui peut aller de quelques milliers d'euros à plusieurs dizaines de milliers d'euros ou plus, l'entreprise peut récupérer ses données.

Lorsqu'une entreprise décide de payer la rançon, c'est qu'elle n'a pas d'autre alternative. Dans le cas où un contrat de cyberassurance est en place, l'entreprise peut solliciter son assureur pour que la rançon soit payée à sa place, à condition que ce soit inclus dans les clauses du contrat.

Néanmoins, cela divise fortement, car le paiement de la rançon ne doit pas devenir systématique : si l'on paie la rançon, cela ne fait qu'enrichir les groupes de cybercriminels et les encourager à continuer. En France, l'ANSSI ne souhaite pas interdire le paiement des rançons par les assurances, mais il est certain que cela va être encadré par une loi. D'ailleurs, face à l'hésitation du gouvernement sur le sujet, certaines polices d'assurance ont pris la décision de ne plus payer les rançons.

Tout cela pour dire qu'il vaut mieux investir dans la sécurité de son système d'information et la sensibilisation de ses utilisateurs, plutôt que de compter sur sa cyberassurance pour payer la rançon en cas d'incident. Par contre, comme je le disais précédemment, elle pourra vous aider financièrement sur d'autres aspects comme les coûts liés à la perte d'activité.

Il ne faut pas oublier que si une entreprise subit une attaque et que cela impacte sa réputation, ce n'est pas l'assurance qui pourra y faire quelque chose. Si la réputation est impactée, les clients pourraient avoir envie d'aller voir ailleurs.

Combien coûte une cyberassurance ?

Terminons cet article en parlant du coût d'une cyberassurance. Sans surprise, le coût dépend de différents critères dont :

  • La taille de l'entreprise
  • Le secteur de l'entreprise
  • Le chiffre d'affaires annuel
  • Le type de données manipulé par l'entreprise
  • Le niveau de sécurité du SI de l'entreprise
  • L'historique de l'entreprise (victime ou pas d'une attaque informatique)

Cette notion de cyberassurances est relativement récente et on peut imaginer qu'elles vont continuer d'évoluer et de murir avec le temps. Dans tous les cas, les entreprises en auront probablement besoin pour assurer leurs arrières un minimum.

Avez-vous eu une expérience bonne ou mauvaise avec une cyberassurance ? N'hésitez pas à partager votre retour d'expérience en commentaire ! 🙂

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4084 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.