Selon une étude réalisée pour le cyber-assureur Hiscox et largement diffusée puis commentée il y a quelques semaines, y compris sur CIO, 65 % des entreprises françaises infectées paieraient les rançons des ransomwares. Réalisée à partir d'une enquête auprès de 6 042 entreprises dans huit pays dont la France, cette étude a déclenché le très vif étonnement de l'AMRAE (Association pour le Management des Risques et des Assurances des Entreprises) qui en conteste la validité, la représentativité de l'échantillon et surtout les résultats. Elle s'inquiète également des conséquences qu'un tel message induit sur le marché. Au niveau européen, cette association professionnelle très représentative des risk managers est membre de la FERMA avec ses homologues des autres pays. Comme la plupart des autres associations professionnelles, ses membres appartiennent plutôt à de grandes entreprises.
« Il faut que les commanditaires de ces études sur le risque cyber s'assurent de leur fiabilité méthodologique et de la représentativité des échantillons utilisés lors de sondage. En l'occurrence vu la difficulté des entreprises à admettre l'existence de problèmes de cybersécurité, leur faire admettre qu'elles payent des rançons est pour le moins difficile et donc les résultats présentés doivent être certainement reçus à cette lumière » dénonce Philippe Cotelle, président de la commission SI de l'AMRAE et vice-président de la FERMA. Il raconte : « j'ai en mains deux rapports de deux cabinets connus, un qui dit que ceux qui payent ont moins d'impact sur leur SI, un autre qui dit exactement l'inverse. Il faut être clair : il n'y a aucun chiffre fiable sur le sujet à ce jour. »
« Aucun chiffre fiable à ce jour »
Pour Philippe Cotelle, il ne fait aucun doute que certaines entreprises payent et que d'autres ont des cyber-assureurs qui payent pour eux. Mais, selon lui, « ces chiffres ne sont pas fiables, il est impossible de dire si on paye plus en France ou pas ». Il rappelle au sujet du commanditaire : « Hiscox est un acteur du marché surtout actif auprès des PME et des ETI. L'étude vise avant tout à faire du buzz pour assurer une promotion commerciale de cet assureur. » De ce point de vue, c'est évidemment le cas de toutes les études sponsorisées par un fournisseur. Reste que la représentativité de l'échantillon est difficile à juger au-delà d'un simple aspect quantitatif.
« Nous avons besoin de rationalité dans la lutte contre les ransomwares » martèle le président de la commission SI de l'AMRAE. Le discours tenu par Hiscox, selon lui, pollue la relation entreprises-cyber-assureurs par de l'irrationnel qui nuit au nécessaire développement du marché de la cyber-assurance et, en amont, à l'encore plus nécessaire amélioration de la gestion des risques IT. Certains assureurs tenteraient, en ce moment, de s'appuyer sur ce genre de chiffres pour justifier des contrats avec des franchises de 50 % : face aux cyber-risques, l'assureur couvre tout le périmètre (y compris une éventuelle rançon) mais seulement à hauteur de la moitié de la valeur.
Position sans ambiguïté de l'AMRAE
Philippe Cotelle insiste avec fermeté : « la position de l'AMRAE est claire : ne jamais payer les rançons. » Pour l'association, la garantie doit couvrir les effets du ransomware mais pas le ransomware lui-même (c'est à dire le paiement de la rançon) : perte d'exploitation, coût de la gestion de crise, etc. Et tout cela « avec une couverture à 100 % ». Il va de soi que plus les attaquants ont une certitude d'être payés, plus ils sont incités à attaquer.
Face à la multiplication d'études autour de tels sujets mais dont la fiabilité est douteuse selon l'AMRAE, l'association communiquera sa propre étude quantitative à la fin du mois de mai. Cette étude exhaustive et quantifiée de l'état du marché de la cyber-assurance auprès des entreprises françaises, a été réalisée en collaboration avec les grands courtiers. Elle ne concernera, par nature, que les entreprises qui utilisent l'intermédiation d'un courtier pour la souscription de ce type de contrat, ce qui est néanmoins l'essentiel de ce marché selon l'association.
Commentaire