Ransomware : une députée veut empêcher les assureurs de couvrir les rançons et sanctionner les entreprises

18 octobre 2021 à 18h35
18
Ransomware © Shutterstock
© Shutterstock

Un rapport parlementaire sur le statut de la cyberassurance propose d'interdire aux assureurs de couvrir les rançons sous prétexte, entre autres, que ce sont ces mêmes rançons qui alimentent la cybercriminalité.

Payer ou ne pas payer la rançon, telle est la question que se pose chaque société, chaque petit entrepreneur ou chaque grand dirigeant qui fait face à un ransomware et au blocage de son système d'information. Ce type d'attaque ne cesse de progresser, et les différentes données en la matière se rejoignent pour définir l'ampleur du phénomène. L'ANSSI nous dit avoir noté une hausse de 225 % des signalements d'attaques par rançongiciel en 2020 par rapport à 2019. Le rapport du spécialiste cyber Proofpoint, lui, nous indique que sur les deux tiers des personnes ayant déclaré que leur entreprise ou organisation a été victime d'un ransomware en 2020, plus de la moitié a procédé au paiement de la rançon. C'est justement contre ce phénomène que se dresse la députée de la Loire, Valéria Faure-Muntian, dans son dernier rapport parlementaire.

Ne plus rembourser les rançons versées aux pirates informatiques, qui financeraient la cybercriminalité

Valéria Faure-Muntian, accessoirement présidente du groupe d'études Assurances de l'Assemblée nationale, a dévoilé son rapport le 13 octobre, dans le but de « dresser le kaléidoscope de la situation de la cyberassurance en France ». Elle ambitionne notamment de créer un cadre juridique qui pourrait aider ce marché à se structurer. Et cela comprend les régimes applicables au paiement des rançons.

La députée rappelle qu'aujourd'hui, aucune interdiction de couverture de la rançon ne pèse sur les assureurs, dans le cadre d'une police d'assurance cyber. La Fédération française de l'assurance (FFA) confirme d'ailleurs cette information en indiquant que le législateur n'interdit pas le remboursement du paiement des rançons. Libre à chaque assureur de délivrer ou non cette garantie.

L'élue remet en cause la légalité du financement de rançons (versées en crypto-monnaies ), eu égard aux risques de financement et d'incitation à ce qu'elle appelle le « crime organisé ». Autrement dit, « le paiement des rançons alimente la cybercriminalité et rien ne garantit que la rançon payée soit un gage de retour à la situation initiale ».

Valéria Faure-Muntian, pour appuyer ses arguments, précise que le paiement peut même encourager les hackers à récidiver et à mener d'autres attaques, ce qui, d'un point de vue purement informatique, n'est pas impossible du tout. Près de 40 % des entreprises ayant procédé à un premier paiement se trouvent ensuite frappées par des demandes de rançon supplémentaires, selon Proofpoint, un chiffre en augmentation de 320 %. « Les données modifiées par une application et chiffrées dans le même temps par le rançongiciel sont bien souvent définitivement corrompues », ajoute à juste titre l'agence.

Le rapport parlementaire préconise donc d'inscrire directement dans la loi l'interdiction pour les assureurs de garantir, couvrir ou indemniser la rançon, en développant ainsi, en parallèle, les volets de prévention, de pédagogie et d'accompagnement auprès des entreprises et de leurs salariés.

Assemblée nationale © Assemblée nationale
© Assemblée nationale

Des entreprises qui pourraient être sanctionnées en cas de paiement

Nous en revenons donc à notre question de départ quant au paiement ou non de la rançon. Cette hésitation pourrait disparaître si les recommandations de la députée de la Loire venaient à être appliquées. Car, outre l'interdiction pour les assureurs de procéder au remboursement, le rapport préconise de sanctionner purement et simplement les entreprises, administrations ou collectivités qui paieraient les rançons, que ce soit via un tiers ou de façon directe. Il faut savoir que ce système est aujourd'hui déjà mis en place aux États-Unis.

Ces propositions ont de quoi faire grincer des dents. Elles pourraient surtout renforcer la pression qui pèse aujourd'hui sur les entreprises, notamment les plus petites d'entre elles, souvent moins sensibles (et moins bien informées) aux risques cybercriminels. Mais le rapport parlementaire compte sur le ressort psychologique pour arriver à ses fins.

Proofpoint nous apprend par exemple qu'en 2020, 43 % des organisations françaises ont utilisé un modèle de réprimande. Concrètement, cela signifie que plus de 4 entreprises sur 10 appliquent des sanctions aux utilisateurs (salariés) qui se font piéger plusieurs fois par certaines attaques, de phishing principalement. Les sanctions ne sont pas gravissimes. Souvent (dans 65 % des cas), les récidivistes écopent d'un avertissement de la part de leur direction ou de l'équipe de sécurité informatique. 42 % d'entre eux peuvent tout de même subir des conséquences sur l'évaluation annuelle de leurs performances.

Le taux de licenciement pour de telles fautes atteindrait, lui, 26 %. Un chiffre surprenant et qui pose question. Il corrobore la donnée suivante : plus de 7 organisations françaises sur 10 (72 %) affirment avoir noté une amélioration dans la sensibilisation des employés grâce à ce fameux modèle de réprimande. De plus en plus de Français seraient ainsi bien informés sur la définition et les conséquences du smishing (hameçonnage par SMS) ou du vishing (hameçonnage par téléphone).

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
18
15
lnho
De la part d’un gouvernement qui paye des millions pour sauver des otages… et qui financent donc le crime et le terrorisme en retour, c’est fort de café !
pecore
Une mesure pour interdire de faire porter sur tous le manque de prévoyance dans la sauvegarde des données ou la protection des systèmes de quelques uns. Moi ça me va.
raiden
Du coup servent a quoi les assurances ?
cyrano66
Ben oui et non.<br /> Oui parce que en effet les entreprises sous estime le problème.<br /> Non parce que y’en a marre de l’interventionnisme législatif toujours prêt à pondre un texte à la noix pour nous dire quoi manger, quoi faire, quoi dire et ou faire pipi.<br /> Un contrat d’assurance est de droit privé.<br /> A ce que je sache les rançonnés ne se font pas indemniser par l’état.<br /> Si j’ai envie d’assurer mon pot de fleur, ma barbe, les poils de mon chien ou ma T… en quoi ça regarde l’assemblée nationale ?<br /> Elle doit vouloir une loi qui porte son nom la Valeria. Les élections approchent
Proutie66
Loi qui sert à rien. Bequcoup d’assureur pro le font déjà.
ScarredCoyote
«&nbsp;Du coup servent a quoi les assurances ?&nbsp;»<br /> Cette députée travaille dans l’assurance. Elle prêche juste pour sa paroisse qui veut se défausser du paiement de rançons. Elle est le cheval de Troie des assureurs au sein de l’Assemblée Nationale. Il y a une collusion d’intérêts évidente.
raiden
Ce gouvernement ne m’etonne meme plus
pecore
Un contrat d’assurance est de droit privé en effet mais la lutte contre le délinquance et la criminalité est un domaine régalien. Il n’y a donc pas d’incohérence à légiférer en la matière, au contraire même.
bennukem
Est-ce Valéria Faure-Muntian qui a mis en place ou fait payer des rançons à des terroristes ? Pourquoi la mêler à la gestion de la libération d’otage ?<br /> Car ce n’est pas de la part d’un gouvernement mais bien d’une députée.<br /> Par curiosité et hors sujet, tu préconises quoi pour les otages, ça rentre dans perte et fracas ?
eric12
Je cite: «&nbsp;De la part d’un gouvernement qui paye des millions pour sauver des otages… et qui financent donc le crime et le terrorisme en retour, c’est fort de café !&nbsp;»<br /> Tu es d’une bêtise crasse. Tu mets sur le même plan une rançon avec potentiellement le risque que les otages soient executés, voir gardés des années durant, avec des crétins qui font n’importe quoi, laissent leur systèmes ouvert aux 4 vents et payent une rançon qui n’aura pour conséquence, comme le dit cette députée, que d’inciter à payer.
eric12
Les amis, au lieu de raconter n’importe quoi et de foncer tête baissée, on réfléchi deux secondes.<br /> Ce phénomène prend une ampleur considérable. Si je suis un hackeur, je crypte le disque dur d’un entreprise, je demande une rançon, ils me paient, vais-je m’arrêter? Bien sûr que non, je vais continuer et y passer mes journées à tenter de rançonner tout le monde !!<br /> et je vais même quelques semaines ou mois plus tard rançonner de nouveau la même entreprise qui n’a toujours pas sur protéger sons système.<br /> Payer des fraudeurs = les inciter à poursuivre dans cette voie.<br /> Quant aux amendes, mais vous êtes débilos ici ou quoi? C’est quoi le système d’une assurance? C’est TOUT LE MONDE qui cotise, autrement TOI et VOUS qui me lisez.<br /> Comment fonctionne ce système? Plus l’assurance doit verser d’argent et plus MOI et VOUS verront nos cotisations augmenter.<br /> Personnellement je n’ai pas envie de voir mes cotisations d’assurance augmenter parce que des gens qui font n’importe quoi et compte sur l’assurance pour rembourser.<br /> Certes vous allez me dire que ces gens là l’assurance va aussi leur augmenter leur cotisation. Certes, mais les autres en prennent aussi dans les gencives.<br /> Quand des inondations, des éboulements de terre font des dégâts considérables de plusieurs centaines de millions d’euros, c’est nous tous qui payons plus cher l’année suivante. Les assureurs n’y vont pas de leur poche. Donc payer car machin n’a plus de baraque, ok, mais payer car des je m’en foutistes font n’importe quoi avec leur système informatique, désolé mais non.
LightBeamOverHeaven
Totalement d’accord.<br /> La sécurité informatique, surtout en entreprise, c’est super sérieux.<br /> À la rigueur qu’il y ai un remboursement quand t’es assuré d’être « aux normes » vis à vis de la sécurité … Pourquoi pas ? J’veux dire bon, suffit qu’un nouveau ransomware arrive et qu’il t’attaque avant que les systèmes de sécurité soient mis à jour pour s’en défendre, c’est rare mais ça peut arriver. Même si là bon, si t’as des backups tu dois pouvoir revenir pas trop loin en arrière sans avoir rien à payer, mais à la rigueur dans ce genre de cas de figure très spécifique je vois pas trop de soucis au fait d’être remboursé. Mais que ce soit systématique ? C’est triste d’avoir à se protéger de personnes malveillantes mais bon y’a pas le choix et faut prendre certaines mesures quand on tient un business et compter sur l’assurance pour tout te rembourser quand tu merdes quelque part … C’est pas tellement le principe en fait. Le principe c’est de te rembourser quand y’a des imprévus, des événements qui ne dépendent pas de toi, pas quand tu te protèges pas
Oldtimer
A nous entuber
pecore
Ne nous leurrons pas sur cette proposition de loi. Les assurances sont de toutes façons pour une telle interdiction et certaines l’appliquent déjà, les plus grosses, celles qui peuvent se permettre de perdre quelques clients.<br /> La loi ne fera qu’enlever aux assurances le dilemme entre arrêter de payer les rançons et courir le risque de perdre des clients ou garder leurs clients et de s’attendre à devoir payer toujours plus de rançons. Elle mettra les assurance, grosses ou petites, sur un pied d’égalité, ni plus ni moins.<br /> Que cela doive normalement aussi endiguer l’augmentation des attaques par rancomware (ce qui est vrai) et que les société doivent être responsabilisées d’avantage face aux attaques par rancomware est un autre aspect de cette proposition de loi, celui que l’on peut présenter au public.
LedragonNantais
Petit tour sur google «&nbsp;Valéria Faure-Muntian&nbsp;» députée LREM, ex charge de clientèle groupama, pas besoin d’aller plus loin. Une marionnette de Macron, et comme ça à été dis plus haut, également une des groupe d’assurance. Bref, encore du foutage de gueule/entubage de la part de ce gouvernement, mais au bout de 5 ans, on devrait être habitué non?
Krimog
L’idée, ce serait d’interdire un deuxième paiement de rançon. Se faire avoir par un ransomware, ça peut arriver. Mais derrière, il faut prendre des mesures pour éviter que ça se reproduise (mise à jour des applications avec des failles, mise en place d’un backup quotidien des données, changement des mots de passe qui auraient fuité, renouvellement des certificats, meilleure séparation des permissions…)
Yabbux
C’est un aveu de faiblesse en fait, n’arrivant pas à combattre le problème à la source, on attaque les innocents, coup classique de politique incompétent.
Voir tous les messages sur le forum

Lectures liées

Google met des bâtons dans les roues de Glupteba, le plus grand botnet connu à ce jour
Les experts en cybersécurité de Kaspersky vous ont concocté un bon plan antivirus à saisir de suite
BadgerDAO, victime du braquage de crypto à 119 millions, supplie son voleur de rendre l'argent
Crypto : la plateforme BitMart piratée, 150 millions d'euros évaporés
Ransomware : le groupe LDLC ciblé par une cyberattaque de Ragnar Locker
Le meilleur antivirus Mac s'offre à -60%, optez pour une sécurité inviolable avec Intego
120 millions de dollars en crypto pour un braquage sans violence de la plateforme décentralisée BadgerDAO
VPN : CyberGhost, Surfshark ou NordVPN ? La sélection à lire pour faire votre choix !
La suite de cybersécurité Avast Ultimate à prix bas : l'idéal pour une protection complète et efficace
Peut-on interdire les mots de passe par défaut ? C'est ce que veut le gouvernement britannique
Haut de page