(AFP) – Les entreprises françaises ont trop tendance à payer les rançons lorsqu’elles sont attaquées par des rançongiciels, a déploré jeudi Johanna Brousse, l’un des magistrats français en charge de la lutte contre la cybercriminalité, en pointant le rôle des assurances dans cette évolution.
« La France est aujourd’hui l’un des pays les plus attaqués en matière de rançongiciels (…) parce que nous payons trop facilement les rançons« , a estimé dans une audition au Sénat Mme Brousse, qui dirige la section « cybercriminalité » du parquet de Paris, co-compétente pour toutes les affaires de rançongiciel en France.
Mme Brousse a évoqué le rôle parfois néfaste joué par les assurances contre le cyber-risque, en plein développement aujourd’hui. Certaines assurances « garantissent le paiement des rançons« , une évolution dangereuse parce que le paiement des rançons incite les cybercriminels à continuer leurs attaques, a indiqué Mme Brousse. Il faut « faire comprendre à chacun que si la rançon est payée, cela va pénaliser tous les autres, parce que les pirates vont s’en prendre plus facilement à notre tissu économique », a-t-elle indiqué.
Faire la chasse à « un business du paiement des rançons »
Présent à la même audition de la délégation aux entreprises du Sénat, le directeur de l’Agence nationale nationale pour la sécurité des systèmes d’information Guillaume Poupard a également évoqué le « jeu trouble de certains assureurs« , qui poussent la victime à payer la rançon. L’assureur peut préférer payer « plusieurs millions d’euros pour la rançon », plutôt que « plusieurs dizaines de millions d’euros » de préjudice provoquées par la perte des données, a-t-il expliqué. Il a critiqué notamment le rôle des négociateurs de rançon, qui peuvent intervenir à la demande de la compagnie d’assurance. « Il faut faire la chasse à tous les intermédiaires un peu gris (…) qui font un business du paiement des rançons, et qui vont se rémunérer parfois sur leur capacité à négocier avec les cybercriminels la baisse des rançons. C’est extrêmement malsain« , a-t-il dit.
La section spécialisée du Parquet de Paris a enregistré 397 saisines pour des affaires de rançongiciels en 2020, et prévoit d’ores et déjà que ce nombre devait « doubler » en 2021, a indiqué Mme Brousse aux sénateurs. Selon le cabinet Wavestone, qui dispose d’équipes de cyber-pompiers intervenant dans les entreprises frappées par des cyberattaques, environ 20 % des entreprises attaquées paient une rançon pour tenter de récupérer leurs données.
