A la suite de la publication du rapport de la Direction Générale du Trésor sur le risque cyber et le développement des assurances, le ministère de l’Économie et des Finances propose un cadre réglementaire afin que les assureurs indemnisent les entreprises victimes d‘attaques par ransomware, lorsque celles-ci paient la rançon demandée. Un projet qui fait débat auprès des professionnels de la cybersécurité des entreprises réunis au sein du Cesin, le Club des Experts de la Sécurité de l’Information et du Numérique.
Aux yeux du Cesin et de sa communauté des professionnels de la cybersécurité, la proposition soulève de nombreuses questions autour du « risque d’encourager le cybercrime », « des pressions que pourraient exercer les assureurs auprès de leurs clients pour payer la rançon si celle-ci s’avère moins élevée que les coûts de remédiation » ou encore « des risques accrus de récidives pour l’entreprise quand celle-ci a été estampillée « bon payeur » par la communauté des cybercriminel. »
Dans un sondage mené par l’association auprès de ses membres, plus de 80 % des 249 répondants se sont positionnés contre ces dispositions réglementaires.
Pour elle, « une voie plus équilibrée reste à trouver sur le marché de l’assurance et cette voie ne devrait pas passer par l’incitation au paiement des rançons. Le Cesin est disposé à travailler avec les parlementaires et les cyber-assureurs afin d’avancer positivement sur ce marché, bousculé entre fluctuations financières et réglementation compliquée. »
