Assurer les rançons : « Le message envoyé aux cybercriminels et aux victimes est déplorable », dénonce un sénateur auteur d’un rapport sur le sujet

Assurer les rançons : « Le message envoyé aux cybercriminels et aux victimes est déplorable », dénonce un sénateur auteur d’un rapport sur le sujet

Le gouvernement a validé le principe de l’indemnisation des rançons payées lors de cyberattaques. La mesure va figurer dans le projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI). Au Sénat, un rapport parlementaire préconisait d’interdire l’assurabilité des rançons au niveau européen.
Simon Barbarit

Temps de lecture :

6 min

Publié le

Mis à jour le

« C’est une sorte de pousse au crime. On ne peut pas évacuer cet aspect. Mais le ministre (Bruno Le Maire) semble avoir tranché », constate le sénateur Sébastien Meurant (Ex LR passé chez Reconquête) co-auteur, l’année dernière, d’un rapport intitulé : « La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ? »

Effectivement, dans un communiqué publié mercredi 7 septembre, la direction générale du Trésor, donne son feu vert à l’assurabilité des cyber-rançons (ransomware), sous condition d’un dépôt de plainte dans les 48 heures. Cette disposition est intégrée au projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI), présentée hier en Conseil des ministres. « Le risque cyber est encore relativement peu assuré, et ne représente que près de 3 % des cotisations en assurance dommage des professionnels », relève Bercy.

Si jusqu’à présent, ce type d’assurance n’était pas interdit en France, mais des interrogations demeureraient sur la couverture de ces offres, tant le risque cyber est difficilement appréciable et est propre à chaque entreprise. « Du côté des assureurs, on doit monter en compétence sur la connaissance technique du risque », reconnaissait l’année dernière, lors d’une table ronde organisée par la délégation sénatoriale aux entreprises, Christophe Delcamp, directeur adjoint au Pôle assurances de dommages et responsabilité de la Fédération française de l’assurance (FFA).

La majorité des entreprises non assurées sont les TPE et PME

Selon Mickaël Robart, directeur en charge du développement chez le courtier Diot-Siaci, la majorité des entreprises non assurées sont les TPE et PME, qui jusqu'à récemment appréhendaient mal ce risque. Aujourd'hui, ce sont elles « qu'il faut assurer en priorité » face à la menace des rançongiciels. « Ce sont elles qui sont tentées de payer la rançon alors que dans 99% des cas, les grands groupes refusent », explique-t-il à l’AFP.

Rémi Cardon, sénateur socialiste, co-auteur du rapport d’information avec Sébastien Meurant dénonce « un loupé politique » dans la communication gouvernementale. « Le message envoyé aux cybercriminels et aux victimes est déplorable. Il faut dire clairement que les rançongiciels ne sont pas les bienvenues en France. On donne l’impression d’une fatalité. Si j’étais provocateur je dirais que le gouvernement laisse faire le financement des criminels et du terrorisme car on ne sait pas qui se cache derrière les hackers. L’assurabilité des rançongiciels n’est acceptable que si elle est conditionnée à un système de protection labellisé par l’ANSSI (agence nationale de la sécurité des systèmes d’information).

Quand un rapport du Sénat préconisait d’interdire l’assurabilité des rançons

Le rapport du Sénat préconisait même d’interdire ce type d’assurances au niveau des 27 afin de ne pas créer « une distorsion de concurrence avec les autres assureurs européens qui y sont autorisés. Il recommandait également de développer l’offre d’un « package » de solutions de cybersécurité pour les TPE et PME par des prescriptions de cybersécurité définies par l’ANSSI. A ce sujet, le gouvernement mise, à horizon 2024, sur le développement par Thales d’un « cloud de confiance » certifié par l’ANSSI. Il permettra d’identifier les offres cloud assurant la meilleure protection des données. Rappelons que depuis la loi de programmation militaire de 2013, certains acteurs publics et privés sont sur une liste « d’opérateurs d’importance vitale » et ont l’obligation d’appliquer des règles de sécurité fixées par l’ANSSI, mais ce n’est évidemment pas le cas des TPE et PME.

Dans leur rapport, les élus relayaient d’ailleurs la position de l’agence nationale de la sécurité des systèmes d’information qui conseillait en août 2020 « de ne jamais payer la rançon ». « Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux. »

Lire notre article. Cyberattaque : « Il y a une explosion de la grande criminalité », rapporte le directeur de l’Anssi

Le revenu du cybercrime est évalué à 6 000 milliards de dollars en 2021

« C’est un nouveau risque et donc un nouveau marché pour les assurances. Dans notre rapport nous avions adopté une position singulière mais nous devons prendre en compte les législations étrangères dans une économie mondialisée » reconnaît Sébastien Meurant.

La délégation des entreprises du Sénat appelait, il y a peu, le gouvernement à développer et encadrer l’assurance en cas de cyberattaques, « identifiée comme l’un des premiers risques pour les entreprises depuis 2013 ». « Le nombre de victimes a été multiplié par 4 en 2020 et le revenu du cybercrime est évalué à 6 000 milliards de dollars en 2021, ce qui devrait représenter la troisième économie mondiale derrière les États-Unis et la Chine en 2025 », rappelaient les élus.

Le Sénat « très réservé » sur l’annonce gouvernementale

Pour autant, Serge Babary, président LR de la délégation « reste très réservé » sur cette disposition « sibylline » du compte rendu du Conseil des ministres. « Nous n’avons pas encore vu le projet de loi mais on peut facilement imaginer que ces assurances vont entraîner un coût supplémentaire pour les entreprises qui va se répercuter sur leurs clients sans avoir la certitude qu’une fois la rançon payée, celle-ci pourra récupérer ses données. Et puis à partir du moment où une entreprise à la garantie d’être assurée pour une rançon est ce qu’elle ne va pas être tentée de prendre des dispositions moins coûteuses pour sa sécurité » ? C’est la raison pour laquelle, la délégation insistait sur « la nécessaire convergence entre solutions de sécurité en amont et services de secours numériques en cas d’attaque ».

« Il faut être un peu sérieux et conditionner ces assurances à une analyse en amont de l’architecture numérique de l’entreprise. Comme pour n’importe quel contrat, les assureurs ne vont pas travailler avec vous si elles ne vous connaissent pas. », appuie Rémi Cardon.

 

 

Dans la même thématique

Paris: Passation pouvoir R. Ferrand et Y. Braun Pivet
9min

Politique

Conseil constitutionnel : à peine validée, la nomination de Richard Ferrand déjà mise en cause par la gauche… et les LR

Pour les parlementaires de gauche, mais aussi LR, Richard Ferrand doit son salut à l’abstention du RN. Certains parlent même de « deal » entre Marine Le Pen et Emmanuel Macron. Alors qu’il manquait une voix pour rejeter sa nomination, l’absence du sénateur écologiste Guy Benarroche a aussi pu jouer. Mais deux sénateurs macronistes manquaient également à l’appel.

Le

Assurer les rançons : « Le message envoyé aux cybercriminels et aux victimes est déplorable », dénonce un sénateur auteur d’un rapport sur le sujet
2min

Politique

« Deal » entre Marine Le Pen et Emmanuel Macron autour de la nomination de Richard Ferrand : des propos « complotistes », dénonce Joshua Hochart (RN)

Joshua Hochart a défendu la position de son parti, qui a permis la confirmation de la nomination de Richard Ferrand au Conseil constitutionnel par son abstention. Un “non-choix du moins pire” qui n’est en rien lié à la décision qui sera rendue prochainement par les Sages sur l’inéligibilité de Marine Le Pen, d’après le sénateur RN.

Le

Assurer les rançons : « Le message envoyé aux cybercriminels et aux victimes est déplorable », dénonce un sénateur auteur d’un rapport sur le sujet
4min

Politique

Richard Ferrand à la tête du Conseil constitutionnel : Ian Brossat dénonce un « deal caché » avec le RN

Le sénateur communiste Ian Brossat a estimé ce mercredi après-midi que la candidature de Richard Ferrand à la tête du Conseil constitutionnel avait été validée grâce à l’abstention du Rassemblement national. Il a interrogé le gouvernement sur l’hypothèse d’un retour de faveur de la part de Richard Ferrand, alors que l’avenir politique de Marine Le Pen pourrait dépendre d’une décision très attendue des Sages de la rue Montpensier sur les exécutions provisoires de peine.

Le