Assurances cyber : Generali dit stop à la garantie rançons

Generali France a étendu aux grandes entreprises la non-indemnisation des rançons payées en conséquence de cyberattaques.

Le remboursement des rançons ? C’est officiellement terminé chez Generali. En tout cas en France. La règle s’appliquait depuis 2017 pour les PME. La voilà étendue aux grandes entreprises (plus de 150 M€ de chiffre d’affaires). AXA France avait aussi suspendu ce type de garantie l’an dernier. Mais pas chez sa filiale XL, qui sert les grands comptes.

La décision de Generali va dans le sens des préconisations du législateur. Plus précisément d’un groupe d’étude de l’Assemblée nationale. Présidé par Valéria Faure-Muntian (LREM, Loire), il a proposé d’inscrire dans la loi « l’interdiction pour les assureurs de garantir, couvrir ou [indemniser] la rançon ».

Au-delà des arguments juridiques (financement du terrorisme, incitation au « crime organisé »…), les députés ont posé un regard pratique sur le phénomène. Leur raisonnement : l’indemnisation encourage le paiement, qui encourage la cybercriminalité.

Johanna Brousse, vice-procureur au tribunal judiciaire de Paris et directrice de la section J3 (lutte contre la cybercriminalité), avait eu un discours de même teneur devant le Sénat. « Aujourd’hui, la France est l’un des pays les plus attaqués […] parce que nous payons trop facilement ». Dans son collimateur, en particulier les assureurs.

Guillaume Poupard s’était montré, à cette même occasion, tout aussi dubitatif à leur sujet. Le directeur général de l’ANSSI avait affirmé que certains jouaient « un jeu trouble ». Non sans admettre qu’il en allait de choix rationnels : il est tentant de payer quelques millions d’euros de rançon plutôt que des dizaines de millions d’euros de préjudice.