Faut-il interdire aux assurances cyber le remboursement des rançons ?
Certains pays, dont la France, les Etats-Unis et l'Angleterre, évoquent la possibilité de proposer des textes de lois interdisant aux assurances cyber de rembourser les rançons aux entreprises ou aux collectivités victimes de cyber-attaques.
Chez Welcomr, nous pensons qu'il s'agit d'une fausse bonne idée.
En apparence, une telle mesure pourrait dissuader les dirigeants d'accéder aux demandes de rançon des pirates, et donc par voie de conséquence, encourager les cyber-assaillants à s'attaquer à d'autres cibles solvables dans d'autres pays.
En réalité, les cyber-criminels bénéficient du laisser-faire d'Etats, par exemple la Chine, la Russie ou encore l'Iran, voulant nuire aux intérêts occidentaux. Ce seront donc toujours les entreprises solvables, ou les organismes d'intérêts vitaux - ex. administrations publiques, hôpitaux,... - qui seront ciblés par le cybercrime même si un tel projet de loi était voté.
Ensuite, les victimes des cyberattaques seraient d'autant plus fragilisées par le paiement de la rançon qu'elles n'en percevraient pas de remboursement auprès de leur compagnie d'assurance. Ce qui procurerait moins de moyens à la constitution de cyberdéfenses, ou au renforcement de leurs systèmes de cybersécurité. Ce qui ferait doublement le jeu des assaillants en nuisant encore plus que nécessaire aux intérêts occidentaux.
En conclusion, nous pensons chez Welcomr qu'il faut en revanche que les systèmes de gouvernance d'entreprises du monde occidental adoptent une meilleure transparence sur le coût du cybercrime. Seule une transparence totale sur les occurrences de cyberattaques et les sommes versées au titre des rançons permettra de mutualiser les moyens de cyberdéfense, d'évaluer les organisations les plus performantes en matière de sécurité informatique, et enfin d'adapter les primes d'assurance au risque réel afin d'établir une forme d'équité cyber.