En matière de cybersécurité, mieux vaut prévenir que guérir : une cyberattaque peut engendrer des lourdes conséquences pour une entreprise, notamment financières. C’est le cas d’attaque par rançongiciel.
Qu’est-ce qu’un rançongiciel ?
Le rançongiciel, ou ransomware, est un logiciel permettant d’accéder et de chiffrer les données d’une personne ou d’une entreprise. Une fois l’attaque réalisée, la victime ne peut plus accéder à ses données : il faut alors payer pour espérer regagner l’accès à ses données.
Les attaques par rançongiciels se multiplient : selon l’Agence Nationale de la Sécurité des Systèmes d’Information (« ANSSI »), ce type d’attaques a augmenté de 225% en 2020.
La recrudescence des rançongiciels soulève une question essentielle pour les entreprises et organismes qui en seraient victimes : celle de leur indemnisation.
Préjudice subi et indemnisation
La victime d’un rançongiciel a la possibilité d’agir en réparation contre l’auteur de la cyberattaque afin d’obtenir l’indemnisation du préjudice subi.
Cependant, l’identification de l’auteur est souvent extrêmement complexe et nécessite généralement une enquête pénale. Ensuite, la victime doit parvenir à démontrer les préjudices subis, ce qui se révèle parfois délicat.
Ainsi, le 20 juin dernier, la Cour d’Appel de Versailles a refusé d’indemniser une société victime d’un rançongiciel sur le fondement du préjudice d’anxiété, ce type de préjudice étant propre aux personnes physiques. La victime s’est également vue refuser l’indemnisation de son préjudice matériel faute de preuve qu’elle avait effectivement supporté les frais engagés en réponse à la cyberattaque.
Indemnisation par une assurance
Pour remédier à cet aléa judiciaire, les entreprises peuvent souscrire une assurance spécialisée. En effet, de nombreux assureurs proposent une couverture financière du préjudice ou proposent même le paiement de la rançon.
Toutefois, cette pratique est dans le viseur des pouvoirs publics, qui souhaiteraient encadrer ou interdire le paiement des rançons par les assureurs. Un groupe de travail a été constitué à Bercy dans l’optique de réglementer les clauses de ce type d’assurances.
Face à l’incertitude d’obtenir une juste indemnisation des frais engendrés par une attaque au rançongiciel, la solution la plus efficace reste — comme toujours en matière cyber — l’anticipation et la prévention du risque, ce qui nécessite des investissements en matière de sécurité et de formation du personnel.