Assurer les rançons : « Le message envoyé aux cybercriminels et aux victimes est déplorable », dénonce un sénateur auteur d’un rapport sur le sujet
Le gouvernement a validé le principe de l’indemnisation des rançons payées lors de cyberattaques. La mesure va figurer dans le projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI). Au Sénat, un rapport parlementaire préconisait d’interdire l’assurabilité des rançons au niveau européen.

Assurer les rançons : « Le message envoyé aux cybercriminels et aux victimes est déplorable », dénonce un sénateur auteur d’un rapport sur le sujet

Le gouvernement a validé le principe de l’indemnisation des rançons payées lors de cyberattaques. La mesure va figurer dans le projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI). Au Sénat, un rapport parlementaire préconisait d’interdire l’assurabilité des rançons au niveau européen.
Simon Barbarit

Temps de lecture :

6 min

Publié le

Mis à jour le

« C’est une sorte de pousse au crime. On ne peut pas évacuer cet aspect. Mais le ministre (Bruno Le Maire) semble avoir tranché », constate le sénateur Sébastien Meurant (Ex LR passé chez Reconquête) co-auteur, l’année dernière, d’un rapport intitulé : « La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ? »

Effectivement, dans un communiqué publié mercredi 7 septembre, la direction générale du Trésor, donne son feu vert à l’assurabilité des cyber-rançons (ransomware), sous condition d’un dépôt de plainte dans les 48 heures. Cette disposition est intégrée au projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI), présentée hier en Conseil des ministres. « Le risque cyber est encore relativement peu assuré, et ne représente que près de 3 % des cotisations en assurance dommage des professionnels », relève Bercy.

Si jusqu’à présent, ce type d’assurance n’était pas interdit en France, mais des interrogations demeureraient sur la couverture de ces offres, tant le risque cyber est difficilement appréciable et est propre à chaque entreprise. « Du côté des assureurs, on doit monter en compétence sur la connaissance technique du risque », reconnaissait l’année dernière, lors d’une table ronde organisée par la délégation sénatoriale aux entreprises, Christophe Delcamp, directeur adjoint au Pôle assurances de dommages et responsabilité de la Fédération française de l’assurance (FFA).

La majorité des entreprises non assurées sont les TPE et PME

Selon Mickaël Robart, directeur en charge du développement chez le courtier Diot-Siaci, la majorité des entreprises non assurées sont les TPE et PME, qui jusqu'à récemment appréhendaient mal ce risque. Aujourd'hui, ce sont elles « qu'il faut assurer en priorité » face à la menace des rançongiciels. « Ce sont elles qui sont tentées de payer la rançon alors que dans 99% des cas, les grands groupes refusent », explique-t-il à l’AFP.

Rémi Cardon, sénateur socialiste, co-auteur du rapport d’information avec Sébastien Meurant dénonce « un loupé politique » dans la communication gouvernementale. « Le message envoyé aux cybercriminels et aux victimes est déplorable. Il faut dire clairement que les rançongiciels ne sont pas les bienvenues en France. On donne l’impression d’une fatalité. Si j’étais provocateur je dirais que le gouvernement laisse faire le financement des criminels et du terrorisme car on ne sait pas qui se cache derrière les hackers. L’assurabilité des rançongiciels n’est acceptable que si elle est conditionnée à un système de protection labellisé par l’ANSSI (agence nationale de la sécurité des systèmes d’information).

Quand un rapport du Sénat préconisait d’interdire l’assurabilité des rançons

Le rapport du Sénat préconisait même d’interdire ce type d’assurances au niveau des 27 afin de ne pas créer « une distorsion de concurrence avec les autres assureurs européens qui y sont autorisés. Il recommandait également de développer l’offre d’un « package » de solutions de cybersécurité pour les TPE et PME par des prescriptions de cybersécurité définies par l’ANSSI. A ce sujet, le gouvernement mise, à horizon 2024, sur le développement par Thales d’un « cloud de confiance » certifié par l’ANSSI. Il permettra d’identifier les offres cloud assurant la meilleure protection des données. Rappelons que depuis la loi de programmation militaire de 2013, certains acteurs publics et privés sont sur une liste « d’opérateurs d’importance vitale » et ont l’obligation d’appliquer des règles de sécurité fixées par l’ANSSI, mais ce n’est évidemment pas le cas des TPE et PME.

Dans leur rapport, les élus relayaient d’ailleurs la position de l’agence nationale de la sécurité des systèmes d’information qui conseillait en août 2020 « de ne jamais payer la rançon ». « Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux. »

Lire notre article. Cyberattaque : « Il y a une explosion de la grande criminalité », rapporte le directeur de l’Anssi

Le revenu du cybercrime est évalué à 6 000 milliards de dollars en 2021

« C’est un nouveau risque et donc un nouveau marché pour les assurances. Dans notre rapport nous avions adopté une position singulière mais nous devons prendre en compte les législations étrangères dans une économie mondialisée » reconnaît Sébastien Meurant.

La délégation des entreprises du Sénat appelait, il y a peu, le gouvernement à développer et encadrer l’assurance en cas de cyberattaques, « identifiée comme l’un des premiers risques pour les entreprises depuis 2013 ». « Le nombre de victimes a été multiplié par 4 en 2020 et le revenu du cybercrime est évalué à 6 000 milliards de dollars en 2021, ce qui devrait représenter la troisième économie mondiale derrière les États-Unis et la Chine en 2025 », rappelaient les élus.

Le Sénat « très réservé » sur l’annonce gouvernementale

Pour autant, Serge Babary, président LR de la délégation « reste très réservé » sur cette disposition « sibylline » du compte rendu du Conseil des ministres. « Nous n’avons pas encore vu le projet de loi mais on peut facilement imaginer que ces assurances vont entraîner un coût supplémentaire pour les entreprises qui va se répercuter sur leurs clients sans avoir la certitude qu’une fois la rançon payée, celle-ci pourra récupérer ses données. Et puis à partir du moment où une entreprise à la garantie d’être assurée pour une rançon est ce qu’elle ne va pas être tentée de prendre des dispositions moins coûteuses pour sa sécurité » ? C’est la raison pour laquelle, la délégation insistait sur « la nécessaire convergence entre solutions de sécurité en amont et services de secours numériques en cas d’attaque ».

« Il faut être un peu sérieux et conditionner ces assurances à une analyse en amont de l’architecture numérique de l’entreprise. Comme pour n’importe quel contrat, les assureurs ne vont pas travailler avec vous si elles ne vous connaissent pas. », appuie Rémi Cardon.

 

 

Partager cet article

Dans la même thématique

Budget 2026 : suivez en direct les annonces de François Bayrou
2min

Politique

Budget 2026 : suivez en direct les annonces de François Bayrou

Le Premier ministre présente à partir de 16 heures les grandes orientations des textes budgétaires de l’automne. Pour tenir la trajectoire de réduction de déficit, le gouvernement prévoit 40 milliards d’euros d’effort budgétaire. Retrouvez ici en direct l'ensemble des annonces de François Bayrou.

Le

Assurer les rançons : « Le message envoyé aux cybercriminels et aux victimes est déplorable », dénonce un sénateur auteur d’un rapport sur le sujet
4min

Politique

711 jours otage au Mali : « C’est l’histoire la plus extraordinaire et terrible de ma vie » raconte Olivier Dubois

C’est un journaliste pas comme les autres. Parti interviewer un lieutenant djihadiste à Gao au Mali en mars 2021, il n’en revient que près de deux ans plus tard, après avoir été capturé par des terroristes. Une expérience marquante qui a chamboulé sa vie. Sa passion du journalisme est-elle toujours intacte ? Comment tenir dans de telles conditions, mais surtout comment se reconstruire ? Olivier Dubois répond à ces questions dans l’émission Un monde, un regard de Rebecca Fitoussi.

Le

Assurer les rançons : « Le message envoyé aux cybercriminels et aux victimes est déplorable », dénonce un sénateur auteur d’un rapport sur le sujet
3min

Politique

Fin des moteurs thermiques en 2035 : « Si on n’a pas de période de transition, c’est du suicide économique » selon l’eurodéputé belge Benoît Cassart

D’ici à 2035, la vente des ventes de voitures thermiques neuves sera interdite. Un objectif remis en cause par la droite européenne et les défenseurs de l’automobile. Un enjeu majeur pour l’Union, où 8 véhicules neufs sur 10 roulent encore à moteur thermique. Voiture thermique stop ou encore on en débat dans l’émission Ici L’Europe présentée par Caroline de Camaret et Alexandre Poussart.

Le