Par Simon Barbarit
Temps de lecture :
6 min
Publié le
Mis à jour le
« C’est une sorte de pousse au crime. On ne peut pas évacuer cet aspect. Mais le ministre (Bruno Le Maire) semble avoir tranché », constate le sénateur Sébastien Meurant (Ex LR passé chez Reconquête) co-auteur, l’année dernière, d’un rapport intitulé : « La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ? »
Effectivement, dans un communiqué publié mercredi 7 septembre, la direction générale du Trésor, donne son feu vert à l’assurabilité des cyber-rançons (ransomware), sous condition d’un dépôt de plainte dans les 48 heures. Cette disposition est intégrée au projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI), présentée hier en Conseil des ministres. « Le risque cyber est encore relativement peu assuré, et ne représente que près de 3 % des cotisations en assurance dommage des professionnels », relève Bercy.
Si jusqu’à présent, ce type d’assurance n’était pas interdit en France, mais des interrogations demeureraient sur la couverture de ces offres, tant le risque cyber est difficilement appréciable et est propre à chaque entreprise. « Du côté des assureurs, on doit monter en compétence sur la connaissance technique du risque », reconnaissait l’année dernière, lors d’une table ronde organisée par la délégation sénatoriale aux entreprises, Christophe Delcamp, directeur adjoint au Pôle assurances de dommages et responsabilité de la Fédération française de l’assurance (FFA).
Selon Mickaël Robart, directeur en charge du développement chez le courtier Diot-Siaci, la majorité des entreprises non assurées sont les TPE et PME, qui jusqu'à récemment appréhendaient mal ce risque. Aujourd'hui, ce sont elles « qu'il faut assurer en priorité » face à la menace des rançongiciels. « Ce sont elles qui sont tentées de payer la rançon alors que dans 99% des cas, les grands groupes refusent », explique-t-il à l’AFP.
Rémi Cardon, sénateur socialiste, co-auteur du rapport d’information avec Sébastien Meurant dénonce « un loupé politique » dans la communication gouvernementale. « Le message envoyé aux cybercriminels et aux victimes est déplorable. Il faut dire clairement que les rançongiciels ne sont pas les bienvenues en France. On donne l’impression d’une fatalité. Si j’étais provocateur je dirais que le gouvernement laisse faire le financement des criminels et du terrorisme car on ne sait pas qui se cache derrière les hackers. L’assurabilité des rançongiciels n’est acceptable que si elle est conditionnée à un système de protection labellisé par l’ANSSI (agence nationale de la sécurité des systèmes d’information).
Le rapport du Sénat préconisait même d’interdire ce type d’assurances au niveau des 27 afin de ne pas créer « une distorsion de concurrence avec les autres assureurs européens qui y sont autorisés. Il recommandait également de développer l’offre d’un « package » de solutions de cybersécurité pour les TPE et PME par des prescriptions de cybersécurité définies par l’ANSSI. A ce sujet, le gouvernement mise, à horizon 2024, sur le développement par Thales d’un « cloud de confiance » certifié par l’ANSSI. Il permettra d’identifier les offres cloud assurant la meilleure protection des données. Rappelons que depuis la loi de programmation militaire de 2013, certains acteurs publics et privés sont sur une liste « d’opérateurs d’importance vitale » et ont l’obligation d’appliquer des règles de sécurité fixées par l’ANSSI, mais ce n’est évidemment pas le cas des TPE et PME.
Dans leur rapport, les élus relayaient d’ailleurs la position de l’agence nationale de la sécurité des systèmes d’information qui conseillait en août 2020 « de ne jamais payer la rançon ». « Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux. »
Lire notre article. Cyberattaque : « Il y a une explosion de la grande criminalité », rapporte le directeur de l’Anssi
« C’est un nouveau risque et donc un nouveau marché pour les assurances. Dans notre rapport nous avions adopté une position singulière mais nous devons prendre en compte les législations étrangères dans une économie mondialisée » reconnaît Sébastien Meurant.
La délégation des entreprises du Sénat appelait, il y a peu, le gouvernement à développer et encadrer l’assurance en cas de cyberattaques, « identifiée comme l’un des premiers risques pour les entreprises depuis 2013 ». « Le nombre de victimes a été multiplié par 4 en 2020 et le revenu du cybercrime est évalué à 6 000 milliards de dollars en 2021, ce qui devrait représenter la troisième économie mondiale derrière les États-Unis et la Chine en 2025 », rappelaient les élus.
Pour autant, Serge Babary, président LR de la délégation « reste très réservé » sur cette disposition « sibylline » du compte rendu du Conseil des ministres. « Nous n’avons pas encore vu le projet de loi mais on peut facilement imaginer que ces assurances vont entraîner un coût supplémentaire pour les entreprises qui va se répercuter sur leurs clients sans avoir la certitude qu’une fois la rançon payée, celle-ci pourra récupérer ses données. Et puis à partir du moment où une entreprise à la garantie d’être assurée pour une rançon est ce qu’elle ne va pas être tentée de prendre des dispositions moins coûteuses pour sa sécurité » ? C’est la raison pour laquelle, la délégation insistait sur « la nécessaire convergence entre solutions de sécurité en amont et services de secours numériques en cas d’attaque ».
« Il faut être un peu sérieux et conditionner ces assurances à une analyse en amont de l’architecture numérique de l’entreprise. Comme pour n’importe quel contrat, les assureurs ne vont pas travailler avec vous si elles ne vous connaissent pas. », appuie Rémi Cardon.
Politique
Programmation énergétique : le Sénat acte la relance du nucléaire
Le Sénat a adopté en deuxième lecture l’article de proposition de loi de programmation énergétique entérinant la relance du nucléaire. L’objectif de construction de six puis huit EPR2 est ainsi inscrit dans la version adoptée par le Sénat, tout comme la composition « majoritairement » nucléaire du mix électrique français à horizon 2050.
Le
Politique
Décès d’Olivier Marleix : « Nous sommes tous sidérés », confie Gérard Larcher
La mort brutale d’Olivier Marleix, ancien président du groupe Les Républicains à l’Assemblée nationale, a plongé le monde politique sous le choc. Ce mardi 8 juillet, de nombreux hommages lui ont été rendus au Parlement. Au Sénat, la réunion de groupe des Républicains s’est ouverte dans une atmosphère de recueillement.
Le
Politique
Budget 2026 : ce que proposent les sénateurs avant les annonces de François Bayrou
Les groupes du socle commun du Sénat contribuent à la réflexion, en mettant sur la table quelques « pistes » d’économies pour un total de 25 milliards d’euros, dont une année blanche, même si le principe fait débat. Pour le centriste Hervé Marseille, il faut « toucher les grandes fortunes, car il faut des signaux », notamment envers le PS, qui veut plus de « justice fiscale ».
Le
Politique
Pas de jaloux. Après la tribune de Bruno Retailleau, qui appelle à arrêter les subventions à l’éolien, la majorité sénatoriale LR et centriste va défendre un amendement visant à évaluer « l’impact financier de toutes les formes de production d’énergie », explique le corapporteur centriste Patrick Chauvet, qui ne veut pas « stigmatiser » les énergies renouvelables. L’objectif global de la PPL Gremillet reste cependant bien la relance du nucléaire.
Le
1er mai : le Sénat autorise les boulangers et les fleuristes à ouvrir