Airbus, Sopra Steria, Bouygues Construction, Fleury-Michon Beijer France, Altran, Eurofins, lafiliale "Transport et Logistics" du groupe Bolloré, les Groupes Accor, M6 ou encore plus récemment le Groupe Lactalis : depuis 2019, toutes ces entreprises ont fait l’objet d’une cyberattaque.

La plupart de ces sociétés ont fait l’objet d’un « ransomware », consistant en l'envoi à la victime d'un logiciel qui chiffre l'ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement.


Mais ce phénomène ne touche pas que les grands groupes : entre 2019 et 2020, l'Agence nationale de Sécurité des Systèmes d'Information (ANSSI) a relevé une multiplication par quatre du nombre d'attaques par rançongiciel, tout en notant qu’une telle dynamique se confirmait en 2021 avec une hausse de 60% de telles attaques1.

1. Les enjeux du ransomware : des conséquences financières importantes

Ciblée par un ransomware, une entreprise peut se retrouver du jour au lendemain dans l’impossibilité d’accéder à ses données essentielles : comptabilité, courriels, contacts, logiciels de gestion des stocks, production etc.


Ce piratage peut ainsi paralyser aussi bien le site de fabrication que les lieux de vente : comment facturer un client ou l’inscrire dans sa base de données s’il est impossible d’accéder au logiciel de gestion ? Comment fabriquer des biens si l’entreprise n’est plus en capacité d’accéder à son système de traçabilité ?


Si la situation perdure, elle peut donc engendrer des conséquences pouvant aller jusqu’au placement sous procédure collective d’une société, incapable de continuer à fonctionner.


Afin de prévenir ces attaques, des solutions humaines ou techniques existent : veille cyber afin de s’informer et rester performant, installation de logiciel anti-virus, pare feux et autres outils de surveillance.


Toutefois, compte-tenu des moyens mis en œuvre par certains hackers, ces solutions ne sont parfois pas suffisantes.


L’entreprise se retrouve alors face à un choix : payer la rançon réclamée par les hackers ou bien résister, avec l’aide de sociétés spécialisées telles Orange Cyberdéfense, Atos ou Wavestone au risque de bloquer son fonctionnement pendant plusieurs mois, le temps de réinitialiser tout le système informatique.

2. Un panel de sanctions pénales insuffisantes à protéger l’entreprise des conséquences financières

Classiquement, le ransomware est constitutif de l’infraction d’extorsion de fond (article 312-1 du Code pénal). La peine encourue est de 7 ans d’emprisonnement et de 100.000 euros d’amende mais peut aller jusqu’à 10 ans d’emprisonnement et 150.000 euros d’amende lorsqu’elle est commisse en bande organisée, ce qui est généralement le cas.


En outre, un panel d’infractions spécifiques aux atteintes aux systèmes de traitement automatisé de données (STAD) a été ajouté aux articles 323-1 et suivants du Code pénal :

  • l'accès ou le maintien frauduleux dans tout ou partie d'un STAD ;
  • l'action d'entraver ou de fausser le fonctionnement d'un STAD ;
  • l'introduction frauduleuse de données, l'extraction, la détention, la reproduction, la transmission, la suppression ou la modification frauduleuse de données ;
  • l'importation, la détention, l'offre, la cession, ou la mise à disposition d'équipement, instrument ou programme informatique ou de toute donnée conçus ou spécialement adaptés pour commettre des infractions aux STAD, sans motif légitime ;
  • la participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels d'une ou plusieurs atteintes à un STAD.‍

Lorsque ces infractions sont commises avec des circonstances aggravantes (en bande organisée et à l’encontre d’un STAD mis en œuvre par l’Etat) elles sont punies d’une peine pouvant aller jusqu’à 10 ans d’emprisonnement et de 300.000 euros d’amende.


Conformément au principe de non-cumul des peines ayant cours en droit pénal français, ce sera uniquement la peine la plus élevée qui sera encourue, nonobstant la caractérisation de plusieurs infractions.


Toutefois, les autorités françaises sont souvent impuissantes face à des hackers comme DarkSide, Revil (ou Sodinokibi), Clop ou encore Conti, situés à l’étranger, à l’abri des juridictions françaises.


A défaut d’identifier pleinement les auteurs du ransomware et de les attraire devant les juridictions françaises, les entreprises se retrouvent alors dans l’incapacité d’obtenir la réparation de leurs pertes.

3. La cyber assurance comme pare feu ?

Pour ces raisons – difficile réparation du préjudice et conséquences financières importantes – les entreprises françaises sont tentées de payer la rançon demandée par les hackers2.


Cette pratique est d’autant plus répandue, que la législation française reste encore floue quant à la possibilité de sanctionner les entreprises qui paieraient des rançons3, de sorte que ce sont parfois les assureurs qui prennent en charge la rançon alors même qu’aucune clause spécifique n’est inscrite dans la police d’assurance.


Or, une telle pratique peut s’avérer être particulièrement dangereuse : le paiement de la rançon, très souvent via des bitcoins, peut être assimilé à un financement de la cybercriminalité, ce qui est sévèrement réprimé par les juridictions américaines, lesquelles se fondent sur l’extraterritorialité de leurs lois pour parfois sanctionner des entreprises étrangères dès lors que celles-ci sont cotées en bourse ou ont une filiale installée aux Etats-Unis4.


Récemment, un rapport parlementaire a donc formulé plusieurs propositions, dont l’interdiction de payer des rançons5.


Parallèlement, ce rapport insiste sur la nécessité de développer l’offre assurantielle avec une prise en charge des frais (experts, société spécialisée permettant de sécuriser et redémarrer le système informatique) mais également des pertes de chiffre d’affaires.


Ces lacunes sont également partagées par l’Association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE) : selon une étude de cette dernière, seulement 8 % des PME ont souscrit une assurance cyber.


Quant aux grandes entreprises, si plus de 80% d’entre elles disposent d’une telle assurance, le risque couvert et le montant des primes restent limités, preuve que le marché n’a pas encore pris conscience de son importance6.

4. Nos préconisations

Face à ce nouvel enjeu, nous recommandons de :

  • prévenir en investissant dans des solutions techniques permettant de diminuer votre risque ;
  • anticiper en vous rapprochant de vos conseils en assurance afin de souscrire une police adaptée à votre risque et en mettant en place un processus interne de gestion de ce type de crise.