Comment les assureurs suisses couvrent-ils les victimes de ransomware?

Il suffit de cliquer une fois sur un e-mail frauduleux pour se faire infecter. Et si aucun malware n'est à prendre à la légère, les ransomwares sont particulièrement redoutables. Une fois leurs systèmes cryptés et leur activité paralysée, les entreprises sont susceptibles de se conformer rapidement à une demande de rançon, d’autant plus si elles ont une cyber-assurance et espèrent se faire rembourser leur versement. Au point qu’il est parfois reproché aux assureurs de faire le jeu des hackers et que certains assureurs préfèrent renoncer à couvrir ce type de frais, à l’instar d’AXA France.

Les assureurs qui paient

Qu’en est-il en Suisse? Les cyber-assurances couvrent-elles le paiement de rançons? Axa Suisse explique que ces remboursements sont assurables en tant que couverture supplémentaire sur demande explicite du client, dans le cadre d'une cyber couverture complète. «A ce jour, Axa Suisse n'a toutefois jamais donné suite à de telles revendications et s'efforcera d'éviter autant que possible de le faire à l'avenir», indique la société. Elle continue également à surveiller l'évolution de l'environnement réglementaire en matière de ransomware.

La plupart des assureurs qui proposent une couverture cyber aux entreprises en Suisse sont du même avis. «Les paiements de rançon ne sont assurés que si un examen et une discussion conjoints ont eu lieu au préalable et que toutes les options possibles ont été évaluées», explique ainsi Carlos Casián, expert cyber chez Allianz Suisse. En règle générale, les paiements jusqu'à 50% de la somme assurée choisie sont couverts.

Carlos Casián, expert cyber chez Allianz Suisse.

La Bâloise est du même avis. Avec son produit cyber pour les PME, les clients peuvent, en option, assurer les rançons avec une limite spécifique (sous-limite). «Si le montant de la rançon se situe en deçà de la sous-limite, il serait entièrement indemnisé et dans le cas contraire, jusqu’au montant de la sous-limite», explique Pierre Mitschi, responsable du domaine cyber-asssurance pour la clientèle entreprises chez Bâloise. Le client peut fixer lui-même cette sous-limite - par tranches de 10’000 francs, jusqu’à 50’000 francs maximum. À titre de comparaison, la rançon moyenne payée suite à un ransomware s’élèverait à 170’000 dollars, mais le montant le plus fréquent serait de 10’000 dollars, selon une étude de Sophos.

Pierre Mitschi, responsable du domaine cyber-asssurance pour la clientèle entreprises chez Bâloise

Allianz et la Bâloise considèrent toutefois que le paiement d'une rançon devrait être réservé à des cas exceptionnels. «En principe, nous déconseillons de payer une rançon, explique Pierre Mitschi de la Bâloise. Le paiement d'une rançon est donc une mesure extrême voire la dernière mesure dans le traitement d’une «demande d’indemnisation».

L’assureur qui ne paie pas

Une entreprise cliente de la Mobilière qui décide de répondre à la demande d'un ransomware devra en revanche payer elle-même la totalité du montant. «Notre cyberassurance ne comprend pas de couverture pour les paiements de rançons, explique Andreas Hölzli, responsable du centre de compétences en matière de cyber-risques de la Mobilière. Par conséquent, nous ne remboursons pas les rançons payées par l'assuré».

Andreas Hölzli, responsable du centre de compétences en cyber-risque de la Mobilière.

L’assureur aurait décidé sciemment de ne pas inclure une telle couverture lorsqu'elle a développé son produit cyber à l'automne 2017. «Il n'y avait pas de demande à l'époque»», explique Andreas Hölzli.

La Mobilière n’exclut cependant pas de s’orienter dans la direction opposée à celle d'Axa. L’assureur indique qu’il observe le marché de très près sur le sujet. Andreas Hölzli ajoute que la Mobilière constate une demande croissante de couverture des ransomwares.

Eviter de faire le jeu des criminels

Certains représentants de l'industrie de la cybersécurité préféreraient probablement que la Mobilière s'en tienne à sa position actuelle. Notamment parce que le paiement d’une rançon ne conduit rarement à récupérer l’intégralité des données. Mais aussi parce que les assureurs peuvent faire le jeu des criminels.

>>Lire sur le sujet: Ransomware: les cyber-assureurs font-ils le jeu des hackers?

«Avec chaque paiement, ce type d'attaque est encouragé, indique un porte-parole d'Helvetia. Pour cette raison, nous déconseillons les paiements». La compagnie d'assurance considère que c'est «au client» de décider de répondre ou non à une demande de rançon. Helvetia les rembourse dans la limite convenue, à condition que les autorités aient été notifiées préalablement.

Les autres assureurs interrogés sont également conscients de ce problème. Pour Carlos Casián d'Allianz, l'objectif d'une compagnie d'assurance doit être ailleurs: «Dans l’hypothèse d’un paiement, l'accent est mis sur le maintien de l'entreprise qui se voit menacée dans son existence».

«Si l'on se met cependant à la place de l'entreprise concernée, qui est de pouvoir accéder à nouveau à ses propres données le plus rapidement possible, il semble difficile de briser ce cycle», explique Mitschi de la Bâloise.

Au lieu de cela, Zurich Insurance Group explique essayer de prévenir de telles situations avant qu'elles ne se produisent. L’assureur rembourse toutefois aussi les rançons, mais seulement dans des cas exceptionnels et à hauteur de 25% de la somme assurée.