La polémique sur le paiement des rançons de cyberattaques

Les assureurs sont depuis quelques semaines à nouveau au cœur d’une polémique. Le 14 avril dernier, l’ANSSI et le Parquet de Paris ont reproché aux assureurs d’encourager le rançongiciel (ou ransomware) en payant les rançons demandées. La doctrine officielle de la France est pourtant de ne jamais payer de rançons, un message bien relayé par l’ANSSI. C’est alors qu’un déferlement d’accusations s’est abattu sur les assureurs qui joueraient un « jeu trouble ».

Le problème est pourtant systémique et ne saurait seulement être expliqué par l’action des assureurs. La difficulté réside dans le manque de moyens et de compétences de la majorité des organisations françaises dans la sécurisation de leurs systèmes. Selon une étude d’Accenture, 80% des entreprises admettent que le développement du numérique au sein de leur organisation a été plus rapide que sa sécurisation. C’est aussi le manque de sensibilisation des Français face aux risques cyber qui devraient être pointés du doigt.

Le rançongiciel, la mère des attaques

Une étude Hiscox de mars 2021 place les rançongiciels parmi les 5 principaux risques cyber. Les rançongiciels évoluent vers des formes de plus en plus sophistiquées, qui rendent les entreprises et institutions françaises plus vulnérables aux menaces cyber. Un rançongiciel crée des portes dérobées par hameçonnage par exemple. Puis, il s’insère dans un système et met en place un logiciel d’encryptage de données. L’objectif étant de demander le paiement d’une rançon en échange de la clé de déchiffrement.

La victime de l’attaque se retrouve alors sous une grande pression : risque de perte de chiffres d’affaires, de perte de données ou pression des utilisateurs et clients. Selon une étude de PWC, « un an après l’annonce d’un incident cyber, la capitalisation boursière d’une entreprise est dépréciée de 20 % à 30 % par rapport à son indice sectoriel de référence ».

Certaines entreprises payent des rançons sans même avoir la certitude que leurs données ne seront pas vendues par ailleurs. Les données ayant de la valeur pour plusieurs raisons : faire chanter une personnalité publique, déstabiliser une entreprise, usurper une identité ou faire pression sur un individu pouvant récupérer des informations sensibles.

L'état inquiétant de la menace cyber en France et a l'étranger

Aucune entreprise ou institution française n’est épargnée par la nécessité de se parer contre le risque cyber : partout où il y a du numérique, il y a un risque. Les attaques par rançongiciels sont ainsi à la hausse depuis 2018 et de façon plus conséquente en 2020. L’ANSSI relève dans sa dernière étude une augmentation, en 2020, de 225% des signalements d’attaques par rançongiciels par rapport à 2019.

Selon une étude McAfee menée avec le CSIS, le coût global de la menace cyber au niveau mondial aurait représenté 1 000 milliards de dollars en 2020 (coût de sécurisation, coût de pertes suite à une attaque, etc.). Une autre étude Cybersecurity Venture prévoit que ce coût sera multiplié par 6 en 2021 et par plus de 10 an 2025. La seule somme des rançons demandées en 2020 aurait ainsi avoisinée 1.4 milliards de dollars. L’année 2020 fut propice aux attaques notamment du fait de la crise sanitaire. En effet, l’avènement du travail à distance en masse avec des systèmes peu adaptés ont permis la multiplication des surfaces d’attaques. De plus, l’ajout d’une crise cyber à une crise sanitaire a participé à accentuer la pression sur les victimes pour qu’elles paient les rançons.

Enfin, l’Union Européenne est pointée du doigt par les Etats-Unis sur son manque de maturité cyber. Le sénateur américain Warner s’est montré inquiet le 19 avril quant à la faible prise en compte de la menace par les Européens. Celle-ci serait illustrée par le supposé manque de retentissement de l’attaque SolarWinds. Pourtant certaines attaques phares ont largement été relayées par les médias européens. 

Des attaques majeures qui sont de plus en plus relayées dans les médias généralistes

La prise de conscience est bien visible dans les médias et à travers les nombreuses interventions politiques récentes. Les hôpitaux et établissements de santé sont des cibles privilégiées. Cédric Ho évoque une attaque par semaine depuis le début de l’année 2021 et 27 hôpitaux attaqués en 2020. Ces établissements sont particulièrement vulnérables puisque la vie des patients est parfois en jeu. De plus, les surfaces d’attaques de ces établissements se sont décuplées depuis le début de la crise sanitaire et l’utilisation d’objets connectés mal sécurisés. Les données de santé ont par ailleurs un caractère hautement stratégique car elles ne peuvent être modifiées (un NIR, une date de naissance, etc.) et sont donc utilisables de façon pérenne. Enfin, ces établissements sont particulièrement ciblés du fait des enjeux de propriété intellectuel liés à des résultats de recherches, essais cliniques ou toutes sortes de brevets.

A l’échelle internationale, l’attaque début mai du plus grand gazoduc américain a largement été partagée dans les médias américains mais aussi français. Cette attaque permet de rappeler que tous les secteurs sont vulnérables, même les secteurs industriels les plus stratégiques. Certaines voix aux Etats-Unis se sont élevées pour souligner le fait que ces événements sont beaucoup plus courants qu’on ne pourrait le croire, seulement très peu relayés. De plus, il semblerait qu’une rançon de 5 millions de dollars auraient été payée, selon Bloomberg, pour rien car ils ont simplement restauré les systèmes à partir de sauvegardes et non à partir de la clé et du processus de déchiffrement mis à disposition suite au paiement.

Décryptage des accusations envers les assureurs.

Tout d’abord, les chiffres avancés sur le paiement de rançons sont extrêmement peu fiables au regard des résultats différents que l’on peut trouver. Selon les sources, 20% des victimes de rançongiciels (étude Wavestone) s’acquitteraient de la rançon et ils sont jusqu’à 60% selon d’autres sources. Seulement toutes les attaques ne sont pas déclarées, et encore moins le paiement des rançons. Ainsi, comment sérieusement les imputer, ou imputer leur recrudescence aux assureurs.

De plus, selon un sondage du CESIN (réalisé par OpinionWay) sur la cybersécurité des entreprises françaises, 75% des entreprises sondées ne s’adressent pas à leur assurance lors d’une attaque cyber parce que le contexte ne s’y prêterait pas ou tout simplement car elles n’ont pas souscrit d’assurance cyber.  Johanna Brousse, l'un des magistrats français en charge de la lutte contre la cybercriminalité, en audition au Sénat déclarait : « La France est aujourd'hui l'un des pays les plus attaqués en matière de rançongiciels (...) parce que nous payons trop facilement les rançons ». Ainsi, la France serait le troisième pays le plus touché par les rançongiciels. Seulement dans l’interview citée plus haut, Guillaume Poupard remet en cause la fiabilité de ces chiffres.

Enfin, le magistrat qui a accusé les assureurs de favoriser les attaques par rançongiciel s’est permis un raccourci tout à fait dommageable. En effet, la pratique des rançongiciels est bien antérieure à l’existence des assurances cyber et antérieure au paiement des rançons. Les assurances cyber sont pointées du doigt comme étant responsables d’un mal dont elles ne sont que les symptômes et non la cause. Ainsi, il ne s’agit pas ici de nier que les assureurs paient des rançons. Mais plutôt de souligner les distorsions dans le traitement du sujet, qui, résultent en une altération négative de la perception de tout un secteur d’activité.

Ce dernier est d’ailleurs hautement réglementé et la Fédération française de l’assurance (FFA) rappelle : « à ce jour, et mis à part certains cas spécifiques visés par la législation, le paiement d’une rançon ne constitue pas une infraction ». Enfin, la décision de payer la rançon ne relève que de l’entreprise et non de l’assureur. C’est bien uniquement l’entreprise qui demande à transférer le risque à l’assureur.

Les assureurs divisés sur la question

Le traitement de l’information est d’autant plus distordu qu’il pointe du doigt toute une profession alors que de nombreux assureurs n’acceptent pas d’inclure l’option paiement de rançons.Generali par exemple s’oppose à cette pratique, quitte à perdre certains contrats, notamment auprès des courtiers. L’assureur ne souhaite pas « alimenter un système délinquant ».  Axa avait une garantie cyber rançonnage, suspendue de façon temporaire. En effet, le paiement de rançon est possible du fait de l’absence de cadre juridique clair. Un porte-parole d’Axa explique : « il est primordial que les pouvoirs publics concrétisent leur position sur ce sujet afin de permettre à tous les acteurs de marché de jouer pleinement leur rôle ».

Hiscox, à l’inverse, admet que « le paiement de la rançon en dernier ressort fait partie de la promesse d’assistance que l’on fait » et que dans certains cas « il n’y a pas d’autres solutions possibles ». On parle ici de différence culturelle anglo-saxonne. Les assureurs qui s’acquittent des rançons assument le choix économique réalisé : l’indemnisation des coûts de reconstitution des données serait bien trop élevée, la sinistralité exploserait suivie par l’augmentation des primes d’assurances. La majorité des entreprises considèrent déjà qu’elles sont trop petites pour être intéressantes lorsque le risque cyber est évoqué (alors que les PME représentent 50% des entreprises ciblées). Si le coût d’une assurance cyber explose, cela terminera de les convaincre de ne pas s’assurer.

Une approche systémique et des actions concrètes à mettre en œuvre.

La prise de conscience existe mais elle est loin d’être suffisante. L’heure doit être à la prévention, l’anticipation et au durcissement de la sécurisation des SI. Il est nécessaire d’adopter une approche systémique pour lutter contre les attaques par rançongiciels. Et ainsi adresser l’ensemble des facteurs qui participent à l’augmentation des attaques.

L’une des dernières portes ouvertes pour rentrer dans un système d’information est le mail. La grande majorité des attaques par rançongiciels proviennent d’hameçonnage. La première action est donc l’acculturation de l’ensemble des collaborateurs au risque cyber, ainsi que leur formation aux bons comportements à adopter. Ces dernières doivent être rendues obligatoires comme le sont celles sur la lutte contre le blanchiment d’argent ou contre le financement du terrorisme dans certains secteurs. Des politiques de prévention beaucoup plus agressives et répétitives doivent être menées aux niveaux nationale, locale et dans toutes entreprises et institutions. Il s’agit de créer le bon environnement cognitif pour favoriser la mémorisation.

Le premier message à retenir est qu’il faut avant tout éviter l’attaque et pas seulement être paré à y faire face. Ainsi, les assureurs devraient notamment intégrer comme conditions à toute souscription d’une assurance cyber, des actions précises d’acculturation, de formation et de prévention.

La seconde action nécessaire est la clarification du cadre juridique autour du paiement des rançons en cas de rançongiciel et des assurances cyber. Cela permettra notamment l’alignement des assureurs sur le sujet. Et éventuellement d’encourager les entreprises à mettre en place de réelles politiques et mesures de cyber sécurité.

La troisième action est l’optimisation de l’organisation. Il est nécessaire de créer un écosystème et une gouvernance de cyber sécurité dans toutes organisations privées ou publiques et d’investir dans la sécurisation des SI, tant au niveau humain que outils. Cela commencera par un contrôle des accès plus efficace. Google souhaite par exemple faire passer tous ses salariés à la double authentification, un mot de passe étant un rempart trop faible à l’accès à un SI. Il s’agira de vérifier l’identité d’un salarié via deux étapes dont une via une application (un SMS pouvant être intercepté).

La prise de conscience des salariés

La formation et l’acculturation des salariés étant essentielles, il s’agira de mettre en œuvre des procédures permettant de vérifier les résultats de ces actions. Il s’agira par exemple d’évaluer le niveau d’acculturation en réalisant des simulations d’hameçonnages. Il est de plus primordial d’être en mesure de réaliser des sauvegardes en continu dans des environnements différents de celui de production. Ainsi, si une attaque intervient sur son système d’information, une sauvegarde est disponible dans un autre environnement et peut être utilisée pour débloquer la situation sans perdre de temps ni payer de rançon.

Enfin, la surveillance du SI est clé pour assurer la résilience d’une organisation face à une attaque. Pour cela, il est nécessaire d’investir dans le renseignement sur les cybermenaces. Il s’agira de maîtriser sa surface d’exposition, s’informer sur les motivations et profils des cyber attaquants dans son secteur, de mettre en place des indicateurs efficaces pour suivre l’activité cyber et simplement adopter une démarche proactive pour se défendre face à la menace cyber.

Pour finir, l’action de l’Etat est inévitable pour augmenter le niveau de cyber sécurité de nos entreprises et institutions. Emmanuel Macron annonçait en février 2021 la stratégie française sur la cybersécurité, soutenue par un investissement d’un milliard d’euros. Il est question de renforcer la filière cyber française, créer 40 000 emplois d’ici 2025 (tout en triplant les revenus de la filière) et ainsi acquérir les compétences manquantes pour faire face à la menace.

Le plan cyber de l’Etat est une « stratégie d'écosystème » qui s'appuie sur plusieurs piliers : un soutien massif à la recherche, des investissements dans les startups et des projets public/privé de sécurisation des objets connectés par exemple. Des formations pour combler le déficit de compétences sont prévues ainsi que des aides pour équiper le secteur public en solutions cyber et le financement d’audits de sécurité par l’ANSII. C’est l'émulation collective de l'ensemble de la filière pour encourager les collaborations qui est visée.

Des actions doivent donc être prises à tous les niveaux : l’Etat pour remplir un rôle de financement, de prévention et de développement des compétences au niveau national. Les organisations pour investir dans la sécurisation de leurs SI et l’acculturation de leurs collaborateurs. Les individus pour être plus au fait des conséquences de leurs actes. Et enfin les assureurs pour jouer un rôle de sécurisation et de prévention et ne plus payer – pour certains – les rançons demandées.

 

Dina Isreb
Auditrice de la 35ème promotion MSIE