La députée Valéria Faure-Muntian propose dans un rapport parlementaire rendu public la semaine dernière « d’inscrire dans la loi l’interdiction pour les assureurs de garantir, couvrir ou d’indemniser la rançon ». Il convient également selon elle « de sanctionner les entreprises, administrations ou collectivités qui procèdent au paiement des rançons à l’aide d’un tiers ou de manière directe.«
Alors que les entreprises continuent d’être les cibles privilégiées des cyberattaquants et de payer les rançons réclamées afin de limiter les dégâts, le gouvernement français tente d’apporter une réponse avec un rapport qui « entend dresser le kaléidoscope de la situation de la cyber-assurance en France, et proposer des voies d’amélioration jugées nécessaires dans un contexte toujours plus risqué pour les entreprises, qui peinent à se couvrir. »
Parmi 20 propositions, ce rapport parlementaire mené par la présidente du groupe d’études Assurances à l’Assemblée nationale, la députée Valéria Faure-Muntian (LREM), préconise d’interdire aux assureurs de prendre en charge les rançons réclamées par les hackers aux entreprises. « Le paiement des rançons alimente la cybercriminalité et rien ne garantit que la rançon payée soit un gage de retour à la situation initiale, écrit dans ce rapport la députée de la Loire. Elle ajoute : « Le paiement encourage même les cybercriminels à récidiver et en incite d’autres à concevoir des cyberattaques ». « Il convient d’inscrire dans la loi l’interdiction pour les assureurs de garantir, couvrir ou d’indemniser la rançon et se porter davantage vers la prévention, l’accompagnement et l’assurance des conséquences pour une entreprise », soutient la députée.
Formation renforcée, partenariat public-privé…
Le rapport préconise également de renforcer les formations à la cybersécurité. Dans la préface de ce rapport, Jérôme Notin, directeur général du Groupement d’intérêt public action contre la cybermalveillance (GIP ACYMA), rappelle d’ailleurs :« Du civil au militaire, en passant par la police, la gendarmerie et la justice, il convient de renforcer la formation en cybersécurité ». Seules les entreprises qui travaillent pour ou avec l’État et des OIV et OSE) seraient contraints de se doter d’une police d’assurance cyber.
Une autre proposition suggère de « créer au sein de l’État une agence nationale dédiée à des opérations cyber-offensives dans le secteur économique et industriel ».
Pour la député, il faut également « une coordination permettant aux assureurs européens de joindre leurs efforts », envisageant « le partenariat public-privé pour le segment systémique du risque cyber ». Et de proposer la création d’ « une nouvelle branche d’assurance dédiée à la cyberassurance » ainsi que le développement de « solutions hybrides de cybersécurité et de cyberassurance pour les PME et les collectivités territoriales».
Selon le rapport State of the Phish 2021 de Proofpoint, 34 % des organisations ont choisi de payer les rançons. » Cela signifie-t-il que la plupart des victimes optent pour des solutions rapides plutôt que pour un investissement à long terme dans la sécurisation de leurs actifs numériques ? », interroge Loïc Guézo, Directeur stratégie cybersécurité SEMEA chez Proofpoint. « En tout état de cause, si une organisation n’a pas anticipé ou testé de manière approfondie une réponse à une infection généralisée par rançongiciel, elle prend le risque d’être contrainte à devoir payer la rançon afin de limiter les dégâts matériels dans un contexte d’urgence. »
Emmanuel Macron a présenté en début d’année une stratégie nationale pour la cybersécurité avec une enveloppe additionnelle de plus d’un milliard d’euros, dont 515 millions de l’État. L’ouverture du Campus Cyber en est un des projets emblématiques.
