• Votre panier est vide.

  • LOGIN

Alors que les demandes de rançongiciels augmentent, les compagnies d’assurance continuent de payer


Certains articles de veille peuvent faire l'objet de traduction automatique.


La frustration d’AXA face au manque de clarté réglementaire est compréhensible étant donné les approches ambiguës adoptées par de nombreux gouvernements sur la question. Aux États-Unis, les autorités ont découragé, mais pas carrément interdit, le paiement de rançons, bien qu’en octobre dernier, le département du Trésor ait publié un rapport sur le sujet. avis avertissant que certains paiements de rançon pourraient être illégaux s’ils sont effectués au profit d’organisations ou de personnes sanctionnées. À bien des égards, cependant, cet avis n’a fait qu’ajouter à la confusion, car il est souvent difficile de savoir exactement qui est à l’origine d’une cyberattaque ou qui est susceptible de recevoir un paiement de rançon particulier.

Au niveau mondial, il s’agit d’un « domaine dépourvu de loi », déclare Ciaran Martin, professeur de pratique à l’université d’Oxford et ancien directeur du Centre national de cybersécurité du Royaume-Uni. « Rien ne prouve encore que les pays s’orientent vers l’idée de dire aux assureurs de ne pas payer de rançons », dit M. Martin. « La France a une tradition de transmission informelle de messages aux grandes entreprises, et cela semble être ce qui s’est passé » dans le cas d’AXA.

Les régulateurs ne sont pas les seuls à s’inquiéter du paiement de rançons par les assureurs. Les transporteurs sont également préoccupés par le nombre et l’ampleur des demandes d’indemnisation liées aux ransomwares. L’augmentation des demandes d’indemnisation a entraîné une hausse significative des primes et des franchises des polices de cyberassurance, explique Matthew McCabe, conseiller principal chez Marsh, courtier d’assurance international. Cette semaine, l’entreprise de transformation de la viande JBS a confirmé qu’elle avait… payé une rançon de 11 millions de dollars; certaines demandes récentes de rançongiciel auraient été jusqu’à 50 millions de dollars.

M. McCabe et d’autres acteurs du secteur de l’assurance doutent qu’une interdiction des paiements de rançon fasse nécessairement baisser la prévalence des ransomwares. Ils craignent qu’au contraire, une interdiction puisse signifier que les assureurs devront payer davantage de réclamations pour des services d’interruption d’activité et de restauration de données.

« Si vous interdisez le paiement de rançons, à quoi cela ressemble-t-il réellement ? Parce que si cela ressemble à une amende de 10 % de ce que les entreprises ont payé au gang des ransomwares, cela ne rend pas la chose illégale, cela ajoute simplement une prime au paiement », déclare Tarah Wheeler, chargée de la cybersécurité au Belfer Center for Science and International Affairs de la Harvard Kennedy School.

M. McCabe suggère également qu’en interdisant aux assureurs de couvrir les paiements de rançons, il pourrait être plus difficile d’exiger de leurs clients qu’ils prennent des mesures de sécurité préventives. Il fait valoir que les compagnies d’assurance sont bien placées pour encourager les entreprises à renforcer leurs défenses, bien qu’il y ait peu de preuves que cela ait fonctionné dans la pratique. Il n’est pas non plus évident, dans tous les cas, que les assureurs préfèrent ne pas payer de rançon au nom de leurs assurés. « Les entreprises préfèrent payer quelques millions de rançons plutôt que des dizaines de millions pour la perte de données garantie par la police d’assurance souscrite ». a déclaré Guillaume Poupard, directeur de l’agence française de cybersécurité ANSSI, lors de la table ronde à l’origine de la décision d’AXA. « Nous devons faire beaucoup d’efforts pour briser ce cercle vicieux autour du paiement des rançons ».

Mais alors que la question du paiement des rançongiciels incombera en fin de compte aux régulateurs, les gouvernements ont été largement réticents à faire ce travail. « À moins que les gouvernements ne décident d’interdire les paiements de rançon, les assureurs se trouvent dans une position difficile où ils doivent inventer une politique quasi-publique », déclare M. Martin, ajoutant que même s’il « accueille la décision d’AXA avec prudence », il ne faut pas « laisser aux assureurs le soin de faire de la politique publique. »

Les membres de l’Institut pour la sécurité et la technologie Ransomware Task Force dont Martin a fait partie au début de l’année, était divisée sur la question de savoir si le paiement de rançons devait être illégal, plusieurs participants ayant exprimé la crainte qu’une telle décision ne fasse de la victimisation un crime.

McCabe est sceptique quant à l’idée que le ransomware est un risque trop important ou imprévisible pour les transporteurs à gérer, même s’il continue à se développer. « Je ne pense pas que les assureurs aient déjà renoncé à ce risque, ni qu’il soit impossible à gérer, mais il a certainement fait des ravages au cours de l’année écoulée et au-delà », a déclaré M. McCabe. Il continue de peser très directement sur AXA, dont la division Asia Assistance a été mise en liquidation. frappée par une attaque de ransomware quelques semaines seulement après sa décision de suspendre la couverture du paiement des rançons en France. Il n’est pas clair si l’attaque est liée à l’annonce précédente de la société, mais c’est un autre rappel du fait que de nombreux assureurs sont encore mal équipés pour protéger leurs propres systèmes contre les ransomwares, et encore moins pour informer leurs assurés sur la façon de le faire.


Voir aussi :

juin 14, 2021

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)