Cyberattaque et rançon en crypto : votre assurance peut désormais vous rembourser

Une boîte se fait chiffrer ses serveurs un dimanche soir. Écran noir, message froid, compteur qui tourne. Les pirates veulent du bitcoin, vite, et te promettent une clé de déchiffrement comme on vend un miracle. La question qui arrive juste après la panique, c’est toujours la même: l’assurance cyber va payer, oui ou non?

La réponse est moins sexy que les pubs de “cyber résilience”. Oui, une assurance peut indemniser une rançon payée en crypto-actifs. Mais pas “automatiquement”, pas “sans poser de questions”, et surtout pas si tu fais n’importe quoi dans les premières heures. Entre la plainte à déposer en 72 heures, les contrôles anti-blanchiment et le risque de sanctions, la facture peut vite rester chez toi.

Plainte sous 72 heures: le verrou LOPMI

En France, le remboursement d’une rançon après rançongiciel n’est pas juste une histoire de contrat. Depuis la LOPMI, l’indemnisation des pertes liées à une cyberattaque est conditionnée à un dépôt de plainte dans les soixante-douze heures à partir du moment où tu as connaissance des faits. Pas “quand tu as le temps”, pas “après avoir remis le SI sur pied”. 72 heures, point.

Sur le terrain, ça change tout. Beaucoup d’entreprises ont le réflexe inverse: d’abord on éteint l’incendie, on réinstalle, on restaure, et on verra la paperasse plus tard. Sauf que cybermalveillance. gouv. fr insiste sur le timing et sur un détail qui pique: déposer plainte avant de réinstaller les appareils touchés, pour préserver les preuves techniques. Si tu nettoies tout, tu te tires une balle dans le pied.

Imagine une PME de logistique, appelons-la “TransNord”. Lundi 8h, plus de planning, plus d’étiquettes, plus de facturation. Le DSI veut reconstruire vite, le patron veut livrer. Sauf que s’ils ne consignent pas les éléments (captures, journaux, machines isolées) et qu’ils tardent à porter plainte, l’assureur peut dire non. Et là, c’est pas un débat philosophique, c’est une ligne “refus de garantie”.

Le truc c’est que la plainte n’est pas la seule course contre la montre. Si des données personnelles ont été consultées, modifiées ou détruites, il faut aussi notifier la CNIL dans les 72 heures au titre du RGPD. Deux chronos en parallèle, avec des équipes déjà cramées. Résultat, ceux qui ont préparé un plan de crise et une check-list s’en sortent. Les autres improvisent, et l’improvisation coûte cher.

Rançon remboursable, mais pas sans contrôles anti-blanchiment

Sur le papier, en droit français, le rançongiciel est qualifié d’extorsion. Tu es la victime. Aucun texte n’interdit, en tant que tel, de payer la rançon, ni à l’assureur de te rembourser. Ça, beaucoup de dirigeants l’entendent comme un feu vert. Sauf que la vraie histoire commence après: comment l’assureur verse, comment il vérifie, et comment il évite d’être embarqué dans une sale affaire.

Pourquoi cette prudence? Parce que les paiements de rançon passent majoritairement par des actifs virtuels. Les autorités qui suivent ces flux expliquent que ça expose à un risque élevé de participation indirecte à des circuits criminels organisés. Et là, tu touches un point sensible: le blanchiment de capitaux. Le Code pénal prévoit des incriminations, et un assureur n’a aucune envie de se retrouver à expliquer qu’il a financé, même indirectement, des gens sous sanctions.

Concrètement, un assureur sérieux va demander des éléments: chronologie, preuves de l’incident, identité des prestataires mobilisés, modalités de négociation, et parfois des analyses techniques sur les adresses crypto utilisées. Pas pour te punir, mais parce qu’il a des obligations de vigilance. “Marc, risk manager dans une ETI”, me racontait un cas typique: l’assureur avait validé le principe de prise en charge, puis a bloqué au moment du paiement parce que le circuit proposé passait par un intermédiaire jugé trop opaque.

Et si tu crois que ça se règle en 30 minutes, mauvaise nouvelle. Dans certains pays, créer un compte crypto peut prendre des semaines à cause des obligations KYC, ces contrôles d’identité exigés par les règles anti-blanchiment. Du coup, quand les pirates te donnent 48 heures et menacent d’augmenter le montant, tu te retrouves coincé entre l’urgence opérationnelle et des procédures financières qui, elles, ne savent pas “sprint”.

Les contrats cyber: remboursement, plafonds, et lignes en petits caractères

Quand on dit “l’assurance rembourse”, on fait comme si c’était un bouton ON/OFF. En vrai, tout dépend de la police: ce qu’elle couvre, ce qu’elle exclut, et les plafonds. Certaines garanties parlent d’extorsion, d’autres d’assistance à la négociation, d’autres encore remboursent des frais liés à l’incident mais pas la rançon elle-même. Et même quand la rançon entre dans le champ, il peut y avoir des limites, des franchises, et des conditions de déclenchement.

Un exemple simple: une entreprise a une garantie “gestion de crise” très solide. Elle obtient des experts, une cellule de réponse, des juristes, parfois même des négociateurs. Mais le remboursement du paiement en crypto est plafonné, ou conditionné à l’accord préalable de l’assureur. Si le dirigeant paie dans son coin à 2h du matin parce qu’il panique, il peut se faire retoquer. Pas parce que l’assureur est méchant, mais parce que le contrat est écrit pour éviter les décisions solo.

Autre point que les gens découvrent trop tard: les assureurs veulent de la traçabilité. Une rançon en crypto, c’est une transaction, une adresse, un montant, un timing. Si tu passes par un prestataire, il faut des factures, un mandat clair, et un dossier propre. Sans ça, tu compliques l’indemnisation. Et tu t’exposes à une deuxième vague d’arnaques, style “on peut récupérer vos fonds” contre un nouveau paiement, un classique que l’AMF décrit très bien dans ses alertes.

Il y a aussi un angle un peu cynique: plus tu es mal préparé, plus tu es cher à assurer, et plus les conditions se durcissent. Les assureurs regardent tes sauvegardes, ton MFA, tes procédures, et ton historique. Une boîte qui a des sauvegardes isolées et testées peut refuser de payer et restaurer. Une boîte qui n’a rien, elle négocie au couteau. Et devine laquelle a le plus de mal à obtenir des conditions favorables l’année suivante.

Payer ne garantit rien: double extorsion et récidive

Le discours des pirates est toujours le même: “payez et on vous rend tout”. Sauf que les autorités de cybersécurité le répètent noir sur blanc: payer ne garantit pas que tu récupéreras l’accès à tes données ou à tes systèmes. Même après paiement, ils peuvent redemander plus d’argent, continuer d’infecter, revendre des accès, ou attaquer à nouveau. Tu finances une promesse, pas un contrat exécutoire.

Et la pression ne se limite plus au chiffrement. Les attaquants jouent aussi sur la divulgation de données volées, la revendication publique, le DDoS, la pression sur les clients. Tu peux payer pour récupérer des serveurs et découvrir que tes données circulent quand même. Dans ce cas, l’assurance peut couvrir certains coûts de notification et de gestion de crise, mais ça ne “répare” pas la réputation. Une fuite de données, ça colle à la peau.

Le pire, c’est la récidive. Quand une organisation paie, elle peut devenir une cible plus rentable. Les documents officiels le disent: après paiement, les auteurs de menace peuvent attaquer à nouveau. Et là, tu retombes dans la même boucle, avec un assureur qui va te demander ce qui a été corrigé depuis le premier incident. Si tu n’as pas renforcé les accès, segmenté, corrigé les failles, tu vas entendre un mot que personne n’aime: aggravation du risque.

Il y a un autre détail très concret: les attaques sont souvent lancées la nuit ou le week-end, quand l’activité est faible. C’est bête, mais ça explique pourquoi les boîtes sans astreinte sécurité se font surprendre. Et quand tu découvres l’attaque le lundi matin, l’horloge des 72 heures démarre au mauvais moment, en plein rush. Du coup, payer peut sembler la solution “rapide”, mais c’est parfois juste la solution “la moins réfléchie”.

Transparence et régulateurs: quand le paiement devient un sujet public

On n’est plus à l’époque où une cyberattaque se réglait dans une salle serveur, porte fermée. Les régulateurs montent en pression sur la transparence. Aux États-Unis, la SEC exige des organisations cotées qu’elles divulguent les détails d’un incident et le niveau d’implication du conseil d’administration dans la cyber résilience. Ça veut dire quoi? Que l’attaque n’est pas seulement un problème IT, c’est un sujet de gouvernance, potentiellement exposé au marché.

En France, le cadre LOPMI sur la plainte en 72 heures pousse aussi vers plus de formalisation. Et cybermalveillance. gouv. fr rappelle les obligations RGPD: si des données personnelles sont concernées, notification à la CNIL dans les 72 heures. Tu peux donc te retrouver à gérer trois fronts: technique, judiciaire, et conformité. Et dans ce contexte, un paiement en crypto n’est plus un “détail”, c’est un acte qui doit être assumé et documenté.

Il y a une tension que tout le monde voit: l’État répète qu’il ne faut pas payer, pour ne pas nourrir l’écosystème criminel. Sauf que la possibilité d’être couvert par une assurance va dans l’autre sens. Et certains observateurs le disent cash: dans son état actuel, ce cadre peut rendre la France attractive pour les cybercriminels, parce qu’ils savent que des victimes ont un filet. C’est pas très agréable à entendre, mais c’est le débat.

Dernier point, plus terre-à-terre: les chiffres qui circulent sur le paiement sont vertigineux. Une étude citée dans la presse spécialisée évoquait 92% d’entreprises françaises interrogées admettant avoir payé une rançon sur l’année écoulée, contre 69% dans le monde. Même si tu prends ça avec prudence, ça montre une culture du “on paye pour redémarrer”. On verra si la pression réglementaire et les assureurs finissent par casser ce réflexe.