Dans un rapport sur le risque cyber, l’Association de Genève s’oppose à l’interdiction du paiement des rançons par les gouvernements.
L’Association de Genève qui regroupe des sociétés d’assurance de 26 pays différents publie un rapport sur l’assurance cyber et en profite pour faire passer des messages. Le principal organe de lobbying des assureurs au niveau international écrit que l’interdiction du paiement des rançons par les pouvoirs publics est un instrument inefficace pour lutter contre la cybercriminalité. « Une interdiction pure et simple du paiement de rançons ou de leur remboursement par les ré/assureurs pourrait avoir l’effet inverse en rendant les transactions clandestines et en encourageant les attaquants de rançongiciels à se livrer à de nouvelles formes d’extorsion plus malveillantes », selon l’Association de Genève.
Darren Pain, directeur cyber de l’Association de Genève et auteur de l’étude, déclare dans un communiqué : « Le paysage des ransomwares est désormais très évolué et sophistiqué, en particulier avec le développement du ransomware-as-a-service (RaaS). Ces attaques de rançongiciels entraînent une augmentation significative des réclamations d’assurance et, par conséquent, des primes. L’interdiction des paiements de rançon serait-elle une solution viable ? Selon notre étude, les compagnies d’assurance ne le pensent pas. Interdire le paiement des rançons ou leur remboursement par les assureurs entraînerait probablement la clandestinité des transactions, privant les autorités de la capacité d’enregistrer et d’analyser les incidents et de poursuivre les criminels. De plus, la dernière chose que nous devrions faire est de prendre des mesures qui pourraient décourager les petites entreprises de souscrire une cyber-assurance, dont les avantages vont bien au-delà du remboursement des rançons.“
Les assureurs recommandent plutôt aux gouvernements et organismes de régulation de concentrer leurs efforts sur des politiques publiques visant « à dissuader les attaques de rançongiciels, à perturber les modèles commerciaux des cybercriminels et l’utilisation illicite des cryptomonnaies, et à mieux préparer les organisations aux intrusions ».
Dans leur rapport, l’Association de Genève écrit que l’assurance cyber ne se limite pas au paiement des rançons. Elle insiste sur le rôle des assureurs sur la prévention et la gestion de la crise en cas de cyber-attaque.
