Cybersécurité : faut-il assurer les victimes de ransomware ? Le Sénat dit "oui"

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 17 octobre 2022 à 20h10

Le Sénat a validé la disposition qui permettra bientôt aux victimes de ransomwares de se faire indemniser pour la rançon payée aux pirates informatiques.

Payer, ou ne pas payer la rançon ? Telle est la question à laquelle les sénateurs devaient répondre, il y a quelque jours. Et ces derniers ont tranché, lors de l'examen en séance publique du LOPMI, le projet de loi d'orientation et de programmation du ministère de l'Intérieur, qui doit fixer la trajectoire budgétaire du ministère pour les années 2023 à 2027. Les sages du Palais du Luxembourg ont en effet adopté l'article 4 du texte, qui pose le principe d'une indemnisation des rançons payées en cas d'attaque informatique.

Il faudra déposer plainte sous 24 h et avant tout paiement

Ce projet de loi, qui vous l'aurez compris poursuit sa route sur le chemin de la navette parlementaire, vise à insérer de nouvelles normes en matière de procédure pénale, liées à la cybersécurité. L'une d'elles, en son article 4, soutenait au départ qu'un assureur puisse indemniser la victime d'un ransomware dès lors que l'entité attaquée a déposé plainte au plus tard 48 heures après le paiement de la rançon.

Plus précisément, le texte indique désormais que le « versement d’une somme en application d’une clause assurantielle visant à couvrir le paiement d’une rançon par l’assuré dans le cadre d’une extorsion […] lorsqu’elle est commise au moyen d’une atteinte à un système de traitement automatisé de données […], est subordonné à la justification du dépôt d’une pré‑plainte de la victime auprès des autorités compétentes dans les 24 heures suivant l’attaque et avant tout paiement de cette rançon ».

Dans une précédente version du texte, il s'agissait donc d'ouvrir un droit à l'indemnisation en cas de plainte, si et seulement si elle était déposée au plus tard 48 heures après avoir payé la rançon. Une curieuse idée sur le papier.

Un article 4 finalement plus flou que jamais… qui pourrait faire le jeu des hackers

Mais un amendement, voté par le Sénat, est venu renforcer l'aspect temporel de la démarche de l'entreprise qui serait victime d'un rançongiciel. Ce n'est ainsi pas une plainte déposée 48 heures après le paiement au plus tard qui ouvrira la possibilité de se faire indemniser, mais une pré-plainte déposée dans les 24 heures qui suivent l'attaque, et avant tout paiement. Sauf qu'au final… qui paiera cette rançon au hacker ? Voilà une question qui, elle, reste sans réponse.

Cet amendement voté permettra, selon les sénateurs, « d’informer au plus vite les autorités compétentes pour agir dès l’attaque et réduire le nombre de rançons versées ».

Pour prétendre à une prise en charge de la rançon, il faudra que l'entreprise ait donc déposé sa pré-plainte, une condition exigée par le ministre de l'Intérieur Gérald Darmanin, et qu'elle ait souscrit une assurance dédiée.

Si certains assureurs, comme Axa, ont déjà proposé par le passé une garantie de remboursement – plafonné – du paiement d'une rançon, légiférer là-dessus risque d'être sérieusement contreproductif pour l'État français et ses assureurs. Il ne fait pas de doute que les hackers vont être attirés comme des aimants dès lors qu'ils auront pris connaissance du texte. Au passage, ils en profiteront peut-être pour faire grimper les enchères, grâce à ce bouclier dont ils ne se priveront pas.

Ne manquez pas, mercredi 19 octobre sur Clubic.com, notre dossier spécial sur le paiement de la rançon. Plusieurs experts cyber, rencontrés aux Assises de la sécurité, ont accepté de nous livrer leur avis sans langue de bois sur la question.

Source : Sénat, Public Sénat

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

ypapanoel

Comprenez : « on va encore augmenter les impôts pour créer une nouvelle assurance. »
Encore un appel d’air pour tous les truands professionnels qui viendront pleurer et se poser en victime pour en profiter.
Comme disait Coluche : « rigolez pas : c’est avec votre pognon »

MattS32

Non, absolument pas. Il s’agit simplement d’autoriser (ou même plus précisément, d’encadrer les conditions, car fondamentalement, de telles assurances peuvent déjà être proposées) les assureurs à proposer ce type d’assurance, il n’est absolument pas question de créer une assurance publique, ni même une assurance privée obligatoire.

mrassol

Assurer ce genre de pratique c’est completement con je trouve.

Si tu laisses ta porte ouverte et que tu te fais cambrioler, tu es couvert ?

MattS32

Avec mon assurance, oui, ils ne demande pas de preuves d’effraction. Parce qu’ils considèrent qu’un humain, ça peut faire des erreurs, et par exemple oublier de fermer en partant de chez soi (bon par contre ils me diminuent tout de même l’indemnisation de 30% dans ce cas).

Pour les ransomware, c’est pareil, même si une entreprise prend énormément de précautions, on n’est jamais totalement à l’abri.

Et puis rien ne dit que les assureurs ne vont pas exiger tout de même un minimum de précautions hein, avec validation par des audits de sécurité réguliers.

wedgantilles

Sérieusement, quelle idée absurde.
C’est effectivement invité les hackers à s’attaquer aux entreprises françaises de dire « bah tant pis il y a l’assurance ». Sans parler du fait que les paiments étant souvent en bitcoin et co par définition bien moins traçable ca ouvre rapidement la porte à des complicités pour récupérer de l’argent via l’assurance.

Et quand il y a une « vraie » rançon pour un kidnapping la consigne c’est bien de ne jamais payer non ? C’est ici la même chose, le vrai point c’est que l’entreprise doit être protégée, il y a des tas de protection qui existe, et surtout de la formation pour éviter ce genre de piège.

wedgantilles

Je serais curieux de savoir quelle assureur fait ça, dans mon cas c’est clairement le premier motif d’exclusion de toute garantie. les 30% s’appliquent dans bien d’autres cas, par exemple effraction par une fenêtre non protégée (pas de grille/ vollet, …)
Ca me parait vraiment étonnant qu’un assureur couvre même à 70% le fait de partir sans verrouiller sa porte.

JeanFIZ

Bientôt des fraudes à l’assurance

MattS32

Crédit Agricole

Dans mon contrat, ils indiquent : « si un sinistre survient ou est aggravé du fait de l’inobservation des mesures de prévention, vous conserverez à votre charge 30 % du montant de l’indemnité. »

Et le fait de fermer à clé quand on part de chez soi, ça fait bien partie de ce qui est listé dans les mesures de prévention du contrat : « Fermer et verrouiller vos portes à clé, fermer vos fenêtres et ouvertures pour toute absence ».

Jamais eu à y faire appel, mais j’ai une connaissance qui a dû le faire avec une autre assurance (MAIF de mémoire, mais sans certitude, et en jetant un oeil à leur conditions actuellement ils disent « vol par effraction, violence ou ruse »), là aussi sans aucune trace d’effraction, ils ont jamais su si les voleurs étaient entrés par la porte en crochetant la serrure ou par le balcon, au 4ème étage, où ils avaient laissé la porte fenêtre ouverte. Et c’est passé.

Alors bien sûr, celui qui part sans fermer, il a une part de responsabilité. Mais une inattention, ça arrive, on est humain… Et regarde les contrats auto, hors contrats au tiers, là aussi on t’indemnise même si tu es clairement responsable…

Et si ces contrats couvrant les ransomware sont justement aussi l’occasion de sensibiliser les entreprises au risques, voire que leur assurance leur impose des procédures de sécurité, c’est vraiment pas un mal, vu le nombre de petites entreprises qui n’ont tout simplement ni les connaissances ni les compétences pour se protéger seules contre ça. Il y a des chances que ça se passe comme ça, parce que les assurances vont forcément vouloir minimiser les risques…

EDIT : tiens maintenant que j’y pense, je me suis bien fait rembourser une fois un vol sans effraction, mais c’était avec mon assurance pro pour un vol dans ma boîte à lettres. Un client m’avait envoyé du matériel, La Poste l’avait déposé dans la boîte, mais boîte vide quand je suis allé le chercher… Ça a pas été facile facile, parce qu’au début l’assurance affirmait que c’était à l’assurance du client de prendre en charge, et inversement l’assurance du client disait que c’était à la mienne, mais ça a fini par se régler et mon assurance a fini par payer. C’était avec Hiscox.

TNZ

Pour les entreprises, l’assurance sur la rançon est une chose, mais l’assurance sur les conséquences de l’attaque ?
Ben voui … Quid des pertes de productivité, du paiement des salaires (avec un SI sur le flanc), etc … ?
Cette histoire de délai, c’est encore un truc conçu par rapport à un cas particulier qui va venir emmerder tout le monde.

Biggs

Je vois bien le topo, ça va finir par une cotisation imposée par les assureurs quel que soit le type de contrat souscrit, comme la « cotisation attentat » que je paye chaque année que je le veuille ou non (dont on se garde par ailleurs bien de me parler quand il s’agit d’établir un devis). Une manne pour les assureurs, au vu du faible risque encouru.