Payer ou ne pas payer les criminels qui chiffrent les données d’une entreprise, telle est la question. AXA a pris une décision en France : la couverture d’assurance cybernétique ne restituera pas l’argent des rançons aux clients qui paient pour l’extorsion. Cette décision a été prise dans le cadre d’une table ronde du Sénat en France portant sur « l’épidémie mondiale dévastatrice de ranswomware ».

La décision de l’assureur est lourde de conséquences. La situation est critique, les dommages se chiffrent en millions et les victimes risquent non seulement de perdre des données, mais aussi de voir leurs informations divulguées au public si elles ne paient pas. Le sentiment d’impuissance est généralisé. Les cyberassureurs tels qu’AXA, qui pourraient couvrir le coût du paiement de la rançon, ont conclu que cette clause encourageait précisément la moins traumatisante des solutions : céder à l’extorsion. Non seulement elle a rendu l’activité d’assurance non rentable, mais elle a également alimenté le secteur de la cybercriminalité lui-même. Rappelez-vous que l’une des stratégies contre les attaquants est que si vous ne les payez pas, l’entreprise d’extorsion deviendra non rentable. Mais quelle est l’alternative pour de nombreuses organisations qui sont obligées de fermer leurs portes si elles ne paient pas ? Soit ils cèdent à l’extorsion et alimentent le processus qui renforce les attaquants (et se perpétue contre d’autres entreprises qui seront de futures victimes)… soit ils résistent au paiement et perdent tout.

Il faut étrangler le commerce des ransomwares non seulement en empêchant l’extorsion de fonds, mais aussi en améliorant la sécurité des entreprises et en adoptant des lois efficaces qui poursuivent les criminels avec des sanctions qui découragent les attaques. Facile à dire, complexe à mettre en œuvre. Mais une seule approche ne suffit pas. La décision d’AXA a montré que le fait de normaliser le paiement et de prendre le risque n’est pas non plus une option viable en soi.

Plus d’information:
https://abcnews.go.com/Technology/wireStory/insurer-axa-halts-ransomware-crime-reimbursement-france-77540351