Un rapport parlementaire sur le statut de la cyberassurance propose d'interdire aux assureurs de couvrir les rançons sous prétexte, entre autres, que ce sont ces mêmes rançons qui alimentent la cybercriminalité.
Payer ou ne pas payer la rançon, telle est la question que se pose chaque société, chaque petit entrepreneur ou chaque grand dirigeant qui fait face à un ransomware et au blocage de son système d'information. Ce type d'attaque ne cesse de progresser, et les différentes données en la matière se rejoignent pour définir l'ampleur du phénomène. L'ANSSI nous dit avoir noté une hausse de 225 % des signalements d'attaques par rançongiciel en 2020 par rapport à 2019. Le rapport du spécialiste cyber Proofpoint, lui, nous indique que sur les deux tiers des personnes ayant déclaré que leur entreprise ou organisation a été victime d'un ransomware en 2020, plus de la moitié a procédé au paiement de la rançon. C'est justement contre ce phénomène que se dresse la députée de la Loire, Valéria Faure-Muntian, dans son dernier rapport parlementaire.
Ne plus rembourser les rançons versées aux pirates informatiques, qui financeraient la cybercriminalité
Valéria Faure-Muntian, accessoirement présidente du groupe d'études Assurances de l'Assemblée nationale, a dévoilé son rapport le 13 octobre, dans le but de « dresser le kaléidoscope de la situation de la cyberassurance en France ». Elle ambitionne notamment de créer un cadre juridique qui pourrait aider ce marché à se structurer. Et cela comprend les régimes applicables au paiement des rançons.
La députée rappelle qu'aujourd'hui, aucune interdiction de couverture de la rançon ne pèse sur les assureurs, dans le cadre d'une police d'assurance cyber. La Fédération française de l'assurance (FFA) confirme d'ailleurs cette information en indiquant que le législateur n'interdit pas le remboursement du paiement des rançons. Libre à chaque assureur de délivrer ou non cette garantie.
L'élue remet en cause la légalité du financement de rançons (versées en crypto-monnaies), eu égard aux risques de financement et d'incitation à ce qu'elle appelle le « crime organisé ». Autrement dit, « le paiement des rançons alimente la cybercriminalité et rien ne garantit que la rançon payée soit un gage de retour à la situation initiale ».
Valéria Faure-Muntian, pour appuyer ses arguments, précise que le paiement peut même encourager les hackers à récidiver et à mener d'autres attaques, ce qui, d'un point de vue purement informatique, n'est pas impossible du tout. Près de 40 % des entreprises ayant procédé à un premier paiement se trouvent ensuite frappées par des demandes de rançon supplémentaires, selon Proofpoint, un chiffre en augmentation de 320 %. « Les données modifiées par une application et chiffrées dans le même temps par le rançongiciel sont bien souvent définitivement corrompues », ajoute à juste titre l'agence.
Le rapport parlementaire préconise donc d'inscrire directement dans la loi l'interdiction pour les assureurs de garantir, couvrir ou indemniser la rançon, en développant ainsi, en parallèle, les volets de prévention, de pédagogie et d'accompagnement auprès des entreprises et de leurs salariés.
Des entreprises qui pourraient être sanctionnées en cas de paiement
Nous en revenons donc à notre question de départ quant au paiement ou non de la rançon. Cette hésitation pourrait disparaître si les recommandations de la députée de la Loire venaient à être appliquées. Car, outre l'interdiction pour les assureurs de procéder au remboursement, le rapport préconise de sanctionner purement et simplement les entreprises, administrations ou collectivités qui paieraient les rançons, que ce soit via un tiers ou de façon directe. Il faut savoir que ce système est aujourd'hui déjà mis en place aux États-Unis.
Ces propositions ont de quoi faire grincer des dents. Elles pourraient surtout renforcer la pression qui pèse aujourd'hui sur les entreprises, notamment les plus petites d'entre elles, souvent moins sensibles (et moins bien informées) aux risques cybercriminels. Mais le rapport parlementaire compte sur le ressort psychologique pour arriver à ses fins.
Proofpoint nous apprend par exemple qu'en 2020, 43 % des organisations françaises ont utilisé un modèle de réprimande. Concrètement, cela signifie que plus de 4 entreprises sur 10 appliquent des sanctions aux utilisateurs (salariés) qui se font piéger plusieurs fois par certaines attaques, de phishing principalement. Les sanctions ne sont pas gravissimes. Souvent (dans 65 % des cas), les récidivistes écopent d'un avertissement de la part de leur direction ou de l'équipe de sécurité informatique. 42 % d'entre eux peuvent tout de même subir des conséquences sur l'évaluation annuelle de leurs performances.
Le taux de licenciement pour de telles fautes atteindrait, lui, 26 %. Un chiffre surprenant et qui pose question. Il corrobore la donnée suivante : plus de 7 organisations françaises sur 10 (72 %) affirment avoir noté une amélioration dans la sensibilisation des employés grâce à ce fameux modèle de réprimande. De plus en plus de Français seraient ainsi bien informés sur la définition et les conséquences du smishing (hameçonnage par SMS) ou du vishing (hameçonnage par téléphone).
Sources : Rapport parlementaire, Rapport Proofpoint
Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)
Lire d'autres articles
