Les rançons des cyberattaques bientôt couvertes par les assurances (France)
© THOMAS SAMSON / AFP/ArchivesFace à l'augmentation des cyberattaques et des demandes de rançon, la nouvelle loi “Lopmi” vise à permettre aux assurances de couvrir le paiement des cyber-rançons. Un point sur ce que cela change pour les particuliers et entreprises victimes de demandes de rançon.
Une disposition conditionnée par le signalement à la police
Grâce à ce nouvel amendement introduit par le projet de loi d’orientation et de programmation du ministère de l’Intérieur, les assurances pourront offrir une couverture à leurs clients victimes d'une attaque informatique par rançongiciel. La condition sera de déposer une plainte à la police dans les 48 heures suivant le paiement d’une rançon, ce qui pourra permettre un éventuel remboursement par une “assurance cyber”.
« Déposer plainte peut surtout permettre d’identifier, d’interpeller et de présenter les auteurs de l’attaque à la Justice, afin de mettre un terme au sentiment d’impunité des cyberdélinquants », explique Catherine Pignon, directrice de la Direction des Affaires Criminelle et des Grâces (DACG). Malgré un débat toujours vif de la part des représentants politiques et des assurances, la possibilité de remboursement des rançons est passée, et elle va permettre de s'assurer que les attaques sont signalées le plus vite possible, et de régulariser une pratique qui se fait déjà. « Aujourd’hui des entreprises ou des établissements s’assurent sans qu’on le sache, mais dans ces cas-là, on a beaucoup moins de moyens de lutter contre la cybercriminalité que si on avait un dépôt de plainte », explique le sénateur du Nord Marc-Philippe Daubresse (LR). Axa, par exemple, avait ajouté l’option garantie cyber-rançonnage en 2020 à un produit créé en 2014. Cependant, l’assureur l’avait mis en suspens mi-2021, en attendant le vote de la Lopmi.
Le risque d’encourager les attaques de ces cybercriminels
L’Anssi rappellait dans son guide en cas d’attaque par rançongiciel, qu’il est « recommandé de ne jamais payer la rançon » demandée par les cybercriminels. Le sénateur LR François Bonhomme détaille la prise de position du secteur de l’assurance : « Les acteurs du secteur estiment que cette autorisation risque d’encourager le cybercrime, voire la récidive, la propagation d’intermédiaire douteux lors des négociations et de favoriser l’exercice d’une pression de la part des assureurs auprès de leurs clients pour les forcer à payer la rançon si celle-ci s’avère moins élevée que les frais de remédiation ». En effet, certains assureurs, comme Generali France, ne souhaitent en aucun cas lancer des produits permettant de couvrir et payer les rançons. Selon Bernard Duterque, directeur de la souscription des risques spécialisés, la compagnie ne souhaite pas réaliser une modification de sa politique d’indemnisation des cyber-rançons, car un tiers des entreprises ayant payé une rançon sont attaquées à nouveau dans les mois qui suivent.
Assurer les rançons : “La moins mauvaise des solutions”
Le sénateur socialiste, Rémi Cardon, co-auteur du rapport d’information du Sénat intitulé, « La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cybervirus ? » affirme de son côté qu’il ne s’agit pas d’un changement de doctrine. Il est toujours recommandé de ne pas payer les rançons, mais dans le cas où elle est payée, les assurances existent pour couvrir cette dépense. Il s’agit, selon le ministère, de “la moins mauvaise des solutions”. Selon M. Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information, interviewé dans l'émission Quotidien : « Se poser la question la question de savoir si je dois payer la rançon ou pas, c’est déjà trop tard. On a le choix entre deux mauvaises solutions. Ce qu’il faut, c’est se protéger pour que ça ne nous arrive pas. »
Aucun commentaire:
Enregistrer un commentaire