Ransomware : une députée veut empêcher les assureurs de couvrir les rançons et sanctionner les entreprises

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 18 octobre 2021 à 18h35

Un rapport parlementaire sur le statut de la cyberassurance propose d'interdire aux assureurs de couvrir les rançons sous prétexte, entre autres, que ce sont ces mêmes rançons qui alimentent la cybercriminalité.

Payer ou ne pas payer la rançon, telle est la question que se pose chaque société, chaque petit entrepreneur ou chaque grand dirigeant qui fait face à un ransomware et au blocage de son système d'information. Ce type d'attaque ne cesse de progresser, et les différentes données en la matière se rejoignent pour définir l'ampleur du phénomène. L'ANSSI nous dit avoir noté une hausse de 225 % des signalements d'attaques par rançongiciel en 2020 par rapport à 2019. Le rapport du spécialiste cyber Proofpoint, lui, nous indique que sur les deux tiers des personnes ayant déclaré que leur entreprise ou organisation a été victime d'un ransomware en 2020, plus de la moitié a procédé au paiement de la rançon. C'est justement contre ce phénomène que se dresse la députée de la Loire, Valéria Faure-Muntian, dans son dernier rapport parlementaire.

Ne plus rembourser les rançons versées aux pirates informatiques, qui financeraient la cybercriminalité

Valéria Faure-Muntian, accessoirement présidente du groupe d'études Assurances de l'Assemblée nationale, a dévoilé son rapport le 13 octobre, dans le but de « dresser le kaléidoscope de la situation de la cyberassurance en France ». Elle ambitionne notamment de créer un cadre juridique qui pourrait aider ce marché à se structurer. Et cela comprend les régimes applicables au paiement des rançons.

La députée rappelle qu'aujourd'hui, aucune interdiction de couverture de la rançon ne pèse sur les assureurs, dans le cadre d'une police d'assurance cyber. La Fédération française de l'assurance (FFA) confirme d'ailleurs cette information en indiquant que le législateur n'interdit pas le remboursement du paiement des rançons. Libre à chaque assureur de délivrer ou non cette garantie.

L'élue remet en cause la légalité du financement de rançons (versées en crypto-monnaies), eu égard aux risques de financement et d'incitation à ce qu'elle appelle le « crime organisé ». Autrement dit, « le paiement des rançons alimente la cybercriminalité et rien ne garantit que la rançon payée soit un gage de retour à la situation initiale ».

Valéria Faure-Muntian, pour appuyer ses arguments, précise que le paiement peut même encourager les hackers à récidiver et à mener d'autres attaques, ce qui, d'un point de vue purement informatique, n'est pas impossible du tout. Près de 40 % des entreprises ayant procédé à un premier paiement se trouvent ensuite frappées par des demandes de rançon supplémentaires, selon Proofpoint, un chiffre en augmentation de 320 %. « Les données modifiées par une application et chiffrées dans le même temps par le rançongiciel sont bien souvent définitivement corrompues », ajoute à juste titre l'agence.

Le rapport parlementaire préconise donc d'inscrire directement dans la loi l'interdiction pour les assureurs de garantir, couvrir ou indemniser la rançon, en développant ainsi, en parallèle, les volets de prévention, de pédagogie et d'accompagnement auprès des entreprises et de leurs salariés.

Des entreprises qui pourraient être sanctionnées en cas de paiement

Nous en revenons donc à notre question de départ quant au paiement ou non de la rançon. Cette hésitation pourrait disparaître si les recommandations de la députée de la Loire venaient à être appliquées. Car, outre l'interdiction pour les assureurs de procéder au remboursement, le rapport préconise de sanctionner purement et simplement les entreprises, administrations ou collectivités qui paieraient les rançons, que ce soit via un tiers ou de façon directe. Il faut savoir que ce système est aujourd'hui déjà mis en place aux États-Unis.

Ces propositions ont de quoi faire grincer des dents. Elles pourraient surtout renforcer la pression qui pèse aujourd'hui sur les entreprises, notamment les plus petites d'entre elles, souvent moins sensibles (et moins bien informées) aux risques cybercriminels. Mais le rapport parlementaire compte sur le ressort psychologique pour arriver à ses fins.

Proofpoint nous apprend par exemple qu'en 2020, 43 % des organisations françaises ont utilisé un modèle de réprimande. Concrètement, cela signifie que plus de 4 entreprises sur 10 appliquent des sanctions aux utilisateurs (salariés) qui se font piéger plusieurs fois par certaines attaques, de phishing principalement. Les sanctions ne sont pas gravissimes. Souvent (dans 65 % des cas), les récidivistes écopent d'un avertissement de la part de leur direction ou de l'équipe de sécurité informatique. 42 % d'entre eux peuvent tout de même subir des conséquences sur l'évaluation annuelle de leurs performances.

Le taux de licenciement pour de telles fautes atteindrait, lui, 26 %. Un chiffre surprenant et qui pose question. Il corrobore la donnée suivante : plus de 7 organisations françaises sur 10 (72 %) affirment avoir noté une amélioration dans la sensibilisation des employés grâce à ce fameux modèle de réprimande. De plus en plus de Français seraient ainsi bien informés sur la définition et les conséquences du smishing (hameçonnage par SMS) ou du vishing (hameçonnage par téléphone).

Sur le même sujet :
Sécurité informatique : demandes de rançons et cassage de mots de passe en forte hausse en 2021

Sources : Rapport parlementaire, Rapport Proofpoint

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

lnho

De la part d’un gouvernement qui paye des millions pour sauver des otages… et qui financent donc le crime et le terrorisme en retour, c’est fort de café !

pecore

Une mesure pour interdire de faire porter sur tous le manque de prévoyance dans la sauvegarde des données ou la protection des systèmes de quelques uns. Moi ça me va.

raiden

Du coup servent a quoi les assurances ?

cyrano66

Ben oui et non.
Oui parce que en effet les entreprises sous estime le problème.

Non parce que y’en a marre de l’interventionnisme législatif toujours prêt à pondre un texte à la noix pour nous dire quoi manger, quoi faire, quoi dire et ou faire pipi.

Un contrat d’assurance est de droit privé.
A ce que je sache les rançonnés ne se font pas indemniser par l’état.

Si j’ai envie d’assurer mon pot de fleur, ma barbe, les poils de mon chien ou ma T… en quoi ça regarde l’assemblée nationale ?

Elle doit vouloir une loi qui porte son nom la Valeria. Les élections approchent

Proutie66

Loi qui sert à rien. Bequcoup d’assureur pro le font déjà.

ScarredCoyote

« Du coup servent a quoi les assurances ? »

Cette députée travaille dans l’assurance. Elle prêche juste pour sa paroisse qui veut se défausser du paiement de rançons. Elle est le cheval de Troie des assureurs au sein de l’Assemblée Nationale. Il y a une collusion d’intérêts évidente.

raiden

Ce gouvernement ne m’etonne meme plus

pecore

Un contrat d’assurance est de droit privé en effet mais la lutte contre le délinquance et la criminalité est un domaine régalien. Il n’y a donc pas d’incohérence à légiférer en la matière, au contraire même.

bennukem

Est-ce Valéria Faure-Muntian qui a mis en place ou fait payer des rançons à des terroristes ? Pourquoi la mêler à la gestion de la libération d’otage ?

Car ce n’est pas de la part d’un gouvernement mais bien d’une députée.

Par curiosité et hors sujet, tu préconises quoi pour les otages, ça rentre dans perte et fracas ?

LightBeamOverHeaven

Totalement d’accord.

La sécurité informatique, surtout en entreprise, c’est super sérieux.

À la rigueur qu’il y ai un remboursement quand t’es assuré d’être « aux normes » vis à vis de la sécurité … Pourquoi pas ? J’veux dire bon, suffit qu’un nouveau ransomware arrive et qu’il t’attaque avant que les systèmes de sécurité soient mis à jour pour s’en défendre, c’est rare mais ça peut arriver. Même si là bon, si t’as des backups tu dois pouvoir revenir pas trop loin en arrière sans avoir rien à payer, mais à la rigueur dans ce genre de cas de figure très spécifique je vois pas trop de soucis au fait d’être remboursé. Mais que ce soit systématique ? C’est triste d’avoir à se protéger de personnes malveillantes mais bon y’a pas le choix et faut prendre certaines mesures quand on tient un business et compter sur l’assurance pour tout te rembourser quand tu merdes quelque part … C’est pas tellement le principe en fait. Le principe c’est de te rembourser quand y’a des imprévus, des événements qui ne dépendent pas de toi, pas quand tu te protèges pas