Assurer les rançons : « Le message envoyé aux cybercriminels et aux victimes est déplorable », dénonce un sénateur auteur d’un rapport sur le sujet

« C’est une sorte de pousse au crime. On ne peut pas évacuer cet aspect. Mais le ministre (Bruno Le Maire) semble avoir tranché », constate le sénateur Sébastien Meurant (Ex LR passé chez Reconquête) co-auteur, l’année dernière, d’un rapport intitulé : « La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ? »

Effectivement, dans un communiqué publié mercredi 7 septembre, la direction générale du Trésor, donne son feu vert à l’assurabilité des cyber-rançons (ransomware), sous condition d’un dépôt de plainte dans les 48 heures. Cette disposition est intégrée au projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI), présentée hier en Conseil des ministres. « Le risque cyber est encore relativement peu assuré, et ne représente que près de 3 % des cotisations en assurance dommage des professionnels », relève Bercy.

Si jusqu’à présent, ce type d’assurance n’était pas interdit en France, mais des interrogations demeureraient sur la couverture de ces offres, tant le risque cyber est difficilement appréciable et est propre à chaque entreprise. « Du côté des assureurs, on doit monter en compétence sur la connaissance technique du risque », reconnaissait l’année dernière, lors d’une table ronde organisée par la délégation sénatoriale aux entreprises, Christophe Delcamp, directeur adjoint au Pôle assurances de dommages et responsabilité de la Fédération française de l’assurance (FFA).

La majorité des entreprises non assurées sont les TPE et PME

Selon Mickaël Robart, directeur en charge du développement chez le courtier Diot-Siaci, la majorité des entreprises non assurées sont les TPE et PME, qui jusqu'à récemment appréhendaient mal ce risque. Aujourd'hui, ce sont elles « qu'il faut assurer en priorité » face à la menace des rançongiciels. « Ce sont elles qui sont tentées de payer la rançon alors que dans 99% des cas, les grands groupes refusent », explique-t-il à l’AFP.

Rémi Cardon, sénateur socialiste, co-auteur du rapport d’information avec Sébastien Meurant dénonce « un loupé politique » dans la communication gouvernementale. « Le message envoyé aux cybercriminels et aux victimes est déplorable. Il faut dire clairement que les rançongiciels ne sont pas les bienvenues en France. On donne l’impression d’une fatalité. Si j’étais provocateur je dirais que le gouvernement laisse faire le financement des criminels et du terrorisme car on ne sait pas qui se cache derrière les hackers. L’assurabilité des rançongiciels n’est acceptable que si elle est conditionnée à un système de protection labellisé par l’ANSSI (agence nationale de la sécurité des systèmes d’information).

Quand un rapport du Sénat préconisait d’interdire l’assurabilité des rançons

Le rapport du Sénat préconisait même d’interdire ce type d’assurances au niveau des 27 afin de ne pas créer « une distorsion de concurrence avec les autres assureurs européens qui y sont autorisés. Il recommandait également de développer l’offre d’un « package » de solutions de cybersécurité pour les TPE et PME par des prescriptions de cybersécurité définies par l’ANSSI. A ce sujet, le gouvernement mise, à horizon 2024, sur le développement par Thales d’un « cloud de confiance » certifié par l’ANSSI. Il permettra d’identifier les offres cloud assurant la meilleure protection des données. Rappelons que depuis la loi de programmation militaire de 2013, certains acteurs publics et privés sont sur une liste « d’opérateurs d’importance vitale » et ont l’obligation d’appliquer des règles de sécurité fixées par l’ANSSI, mais ce n’est évidemment pas le cas des TPE et PME.

Dans leur rapport, les élus relayaient d’ailleurs la position de l’agence nationale de la sécurité des systèmes d’information qui conseillait en août 2020 « de ne jamais payer la rançon ». « Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux. »

Lire notre article. Cyberattaque : « Il y a une explosion de la grande criminalité », rapporte le directeur de l’Anssi

Le revenu du cybercrime est évalué à 6 000 milliards de dollars en 2021

« C’est un nouveau risque et donc un nouveau marché pour les assurances. Dans notre rapport nous avions adopté une position singulière mais nous devons prendre en compte les législations étrangères dans une économie mondialisée » reconnaît Sébastien Meurant.

La délégation des entreprises du Sénat appelait, il y a peu, le gouvernement à développer et encadrer l’assurance en cas de cyberattaques, « identifiée comme l’un des premiers risques pour les entreprises depuis 2013 ». « Le nombre de victimes a été multiplié par 4 en 2020 et le revenu du cybercrime est évalué à 6 000 milliards de dollars en 2021, ce qui devrait représenter la troisième économie mondiale derrière les États-Unis et la Chine en 2025 », rappelaient les élus.

Le Sénat « très réservé » sur l’annonce gouvernementale

Pour autant, Serge Babary, président LR de la délégation « reste très réservé » sur cette disposition « sibylline » du compte rendu du Conseil des ministres. « Nous n’avons pas encore vu le projet de loi mais on peut facilement imaginer que ces assurances vont entraîner un coût supplémentaire pour les entreprises qui va se répercuter sur leurs clients sans avoir la certitude qu’une fois la rançon payée, celle-ci pourra récupérer ses données. Et puis à partir du moment où une entreprise à la garantie d’être assurée pour une rançon est ce qu’elle ne va pas être tentée de prendre des dispositions moins coûteuses pour sa sécurité » ? C’est la raison pour laquelle, la délégation insistait sur « la nécessaire convergence entre solutions de sécurité en amont et services de secours numériques en cas d’attaque ».

« Il faut être un peu sérieux et conditionner ces assurances à une analyse en amont de l’architecture numérique de l’entreprise. Comme pour n’importe quel contrat, les assureurs ne vont pas travailler avec vous si elles ne vous connaissent pas. », appuie Rémi Cardon.