Cybersécurité : faut-il assurer les victimes de ransomware ? Le Sénat dit "oui"

Alexandre Boero
Chargé de l'actualité de Clubic
17 octobre 2022 à 20h10
10
Ransomware

Le Sénat a validé la disposition qui permettra bientôt aux victimes de ransomwares de se faire indemniser pour la rançon payée aux pirates informatiques.

Payer, ou ne pas payer la rançon ? Telle est la question à laquelle les sénateurs devaient répondre, il y a quelque jours. Et ces derniers ont tranché, lors de l'examen en séance publique du LOPMI, le projet de loi d'orientation et de programmation du ministère de l'Intérieur, qui doit fixer la trajectoire budgétaire du ministère pour les années 2023 à 2027. Les sages du Palais du Luxembourg ont en effet adopté l'article 4 du texte, qui pose le principe d'une indemnisation des rançons payées en cas d'attaque informatique.

Il faudra déposer plainte sous 24 h et avant tout paiement

Ce projet de loi, qui vous l'aurez compris poursuit sa route sur le chemin de la navette parlementaire, vise à insérer de nouvelles normes en matière de procédure pénale, liées à la cybersécurité. L'une d'elles, en son article 4, soutenait au départ qu'un assureur puisse indemniser la victime d'un ransomware dès lors que l'entité attaquée a déposé plainte au plus tard 48 heures après le paiement de la rançon.

Plus précisément, le texte indique désormais que le « versement d’une somme en application d’une clause assurantielle visant à couvrir le paiement d’une rançon par l’assuré dans le cadre d’une extorsion […] lorsqu’elle est commise au moyen d’une atteinte à un système de traitement automatisé de données […], est subordonné à la justification du dépôt d’une pré‑plainte de la victime auprès des autorités compétentes dans les 24 heures suivant l’attaque et avant tout paiement de cette rançon ».

Dans une précédente version du texte, il s'agissait donc d'ouvrir un droit à l'indemnisation en cas de plainte, si et seulement si elle était déposée au plus tard 48 heures après avoir payé la rançon. Une curieuse idée sur le papier.

Un article 4 finalement plus flou que jamais… qui pourrait faire le jeu des hackers

Mais un amendement, voté par le Sénat, est venu renforcer l'aspect temporel de la démarche de l'entreprise qui serait victime d'un rançongiciel. Ce n'est ainsi pas une plainte déposée 48 heures après le paiement au plus tard qui ouvrira la possibilité de se faire indemniser, mais une pré-plainte déposée dans les 24 heures qui suivent l'attaque, et avant tout paiement. Sauf qu'au final… qui paiera cette rançon au hacker ? Voilà une question qui, elle, reste sans réponse.

Cet amendement voté permettra, selon les sénateurs, « d’informer au plus vite les autorités compétentes pour agir dès l’attaque et réduire le nombre de rançons versées ». 

Pour prétendre à une prise en charge de la rançon, il faudra que l'entreprise ait donc déposé sa pré-plainte, une condition exigée par le ministre de l'Intérieur Gérald Darmanin, et qu'elle ait souscrit une assurance dédiée.

Si certains assureurs, comme Axa, ont déjà proposé par le passé une garantie de remboursement – plafonné – du paiement d'une rançon, légiférer là-dessus risque d'être sérieusement contreproductif pour l'État français et ses assureurs. Il ne fait pas de doute que les hackers vont être attirés comme des aimants dès lors qu'ils auront pris connaissance du texte. Au passage, ils en profiteront peut-être pour faire grimper les enchères, grâce à ce bouclier dont ils ne se priveront pas.

Ne manquez pas, mercredi 19 octobre sur Clubic.com, notre dossier spécial sur le paiement de la rançon. Plusieurs experts cyber, rencontrés aux Assises de la sécurité, ont accepté de nous livrer leur avis sans langue de bois sur la question.

Source : Sénat, Public Sénat

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (10)

ypapanoel
Comprenez : « on va encore augmenter les impôts pour créer une nouvelle assurance. »<br /> Encore un appel d’air pour tous les truands professionnels qui viendront pleurer et se poser en victime pour en profiter.<br /> Comme disait Coluche : « rigolez pas : c’est avec votre pognon »
MattS32
ypapanoel:<br /> Comprenez : « on va encore augmenter les impôts pour créer une nouvelle assurance. »<br /> Non, absolument pas. Il s’agit simplement d’autoriser (ou même plus précisément, d’encadrer les conditions, car fondamentalement, de telles assurances peuvent déjà être proposées) les assureurs à proposer ce type d’assurance, il n’est absolument pas question de créer une assurance publique, ni même une assurance privée obligatoire.
mrassol
Assurer ce genre de pratique c’est completement con je trouve.<br /> Si tu laisses ta porte ouverte et que tu te fais cambrioler, tu es couvert ?
MattS32
mrassol:<br /> Si tu laisses ta porte ouverte et que tu te fais cambrioler, tu es couvert ?<br /> Avec mon assurance, oui, ils ne demande pas de preuves d’effraction. Parce qu’ils considèrent qu’un humain, ça peut faire des erreurs, et par exemple oublier de fermer en partant de chez soi (bon par contre ils me diminuent tout de même l’indemnisation de 30% dans ce cas).<br /> Pour les ransomware, c’est pareil, même si une entreprise prend énormément de précautions, on n’est jamais totalement à l’abri.<br /> Et puis rien ne dit que les assureurs ne vont pas exiger tout de même un minimum de précautions hein, avec validation par des audits de sécurité réguliers.
wedgantilles
Sérieusement, quelle idée absurde.<br /> C’est effectivement invité les hackers à s’attaquer aux entreprises françaises de dire « bah tant pis il y a l’assurance ». Sans parler du fait que les paiments étant souvent en bitcoin et co par définition bien moins traçable ca ouvre rapidement la porte à des complicités pour récupérer de l’argent via l’assurance.<br /> Et quand il y a une « vraie » rançon pour un kidnapping la consigne c’est bien de ne jamais payer non ? C’est ici la même chose, le vrai point c’est que l’entreprise doit être protégée, il y a des tas de protection qui existe, et surtout de la formation pour éviter ce genre de piège.
wedgantilles
Je serais curieux de savoir quelle assureur fait ça, dans mon cas c’est clairement le premier motif d’exclusion de toute garantie. les 30% s’appliquent dans bien d’autres cas, par exemple effraction par une fenêtre non protégée (pas de grille/ vollet, …)<br /> Ca me parait vraiment étonnant qu’un assureur couvre même à 70% le fait de partir sans verrouiller sa porte.
JeanFIZ
Bientôt des fraudes à l’assurance
MattS32
Crédit Agricole<br /> Dans mon contrat, ils indiquent : « si un sinistre survient ou est aggravé du fait de l’inobservation des mesures de prévention, vous conserverez à votre charge 30 % du montant de l’indemnité. »<br /> Et le fait de fermer à clé quand on part de chez soi, ça fait bien partie de ce qui est listé dans les mesures de prévention du contrat : « Fermer et verrouiller vos portes à clé, fermer vos fenêtres et ouvertures pour toute absence ».<br /> Jamais eu à y faire appel, mais j’ai une connaissance qui a dû le faire avec une autre assurance (MAIF de mémoire, mais sans certitude, et en jetant un oeil à leur conditions actuellement ils disent « vol par effraction, violence ou ruse »), là aussi sans aucune trace d’effraction, ils ont jamais su si les voleurs étaient entrés par la porte en crochetant la serrure ou par le balcon, au 4ème étage, où ils avaient laissé la porte fenêtre ouverte. Et c’est passé.<br /> Alors bien sûr, celui qui part sans fermer, il a une part de responsabilité. Mais une inattention, ça arrive, on est humain… Et regarde les contrats auto, hors contrats au tiers, là aussi on t’indemnise même si tu es clairement responsable…<br /> Et si ces contrats couvrant les ransomware sont justement aussi l’occasion de sensibiliser les entreprises au risques, voire que leur assurance leur impose des procédures de sécurité, c’est vraiment pas un mal, vu le nombre de petites entreprises qui n’ont tout simplement ni les connaissances ni les compétences pour se protéger seules contre ça. Il y a des chances que ça se passe comme ça, parce que les assurances vont forcément vouloir minimiser les risques…<br /> EDIT : tiens maintenant que j’y pense, je me suis bien fait rembourser une fois un vol sans effraction, mais c’était avec mon assurance pro pour un vol dans ma boîte à lettres. Un client m’avait envoyé du matériel, La Poste l’avait déposé dans la boîte, mais boîte vide quand je suis allé le chercher… Ça a pas été facile facile, parce qu’au début l’assurance affirmait que c’était à l’assurance du client de prendre en charge, et inversement l’assurance du client disait que c’était à la mienne, mais ça a fini par se régler et mon assurance a fini par payer. C’était avec Hiscox.
TNZ
Pour les entreprises, l’assurance sur la rançon est une chose, mais l’assurance sur les conséquences de l’attaque ?<br /> Ben voui … Quid des pertes de productivité, du paiement des salaires (avec un SI sur le flanc), etc … ?<br /> Cette histoire de délai, c’est encore un truc conçu par rapport à un cas particulier qui va venir emmerder tout le monde.
Biggs
Je vois bien le topo, ça va finir par une cotisation imposée par les assureurs quel que soit le type de contrat souscrit, comme la « cotisation attentat » que je paye chaque année que je le veuille ou non (dont on se garde par ailleurs bien de me parler quand il s’agit d’établir un devis). Une manne pour les assureurs, au vu du faible risque encouru.
Palou
Biggs:<br /> comme la « cotisation attentat » que je paye chaque année que je le veuille ou non<br /> C’est l’Etat français qui l’a imposé, pas un choix des assureurs
MattS32
Biggs:<br /> Je vois bien le topo, ça va finir par une cotisation imposée par les assureurs quel que soit le type de contrat souscrit, comme la « cotisation attentat » que je paye chaque année que je le veuille ou non<br /> Sauf que non justement la cotisation attentat c’est pas imposé par les assureurs, c’est imposé par la loi. Et il n’est absolument pas question que la loi impose une cotisation ransomware, pas plus qu’elle n’impose une cotisation vol ou une cotisation incendie, ou tout autre risque couvert par les assurances.<br /> Et cette cotisation attentat, elle existe justement parce que les assurances ne prennent PAS en charge les dommages corporels provenant d’un attentat ou d’un crime, ce risque est couvert par une garantie d’État, le Fond de garantie des victimes du terrorisme et d’autres infractions (notamment les meurtres, viols… mais la cotisation s’appelle cotisation attentats parce qu’elle a été mise en place suite à la vague d’attentats du milieu des années 80, même si au final le gros du budget du fond ne va pas à des victimes d’attentats…).<br /> Le fait que la loi encadre les assurances ransomware va bien dans le sens d’une gestion privée de ce risque, par les assurances, ce qui est donc à l’opposée d’une cotisation obligatoire pour une gestion publique.<br /> Biggs:<br /> Une manne pour les assureurs, au vu du faible risque encouru.<br /> Ben non, les assureurs ne touchent pas un centime de cette cotisation. Tout va au FGTI pour indemniser des victimes.<br /> En 2020 le FGTI a versé 45M€ à des victimes de terrorisme (à raison de 300 demandes par an en moyenne depuis le milieu des années 80, 1000 par an depuis 2015) et 337M€ à des victimes d’autres infractions. Voilà où va ta cotisation attentat. Pas dans la poche des assureurs.<br /> Et cette « manne » comme tu dis, ne suffit même pas à couvrir l’intégralité du fonctionnement des coûts du fond : en 2020 il a encaissé 706 M€ (dont 570 M€ de cotisation attentats de 82 M€ payés par les coupables des infractions indemnisées) pour 1019 M€ de charges (les 382 M€ versés dans l’année aux victimes, 37 M€ de frais de fonctionnement et près de 600 M€ provisionnés pour des versements futurs aux victimes).<br /> Bref, renseignes-toi un minimum…
Biggs
Au temps pour moi donc, j’ai été mal renseigné (et je n’ai pas vérifié). Mea culpa.
Voir tous les messages sur le forum

Top meilleurs antivirus

Bitdefender
Bitdefender Voir l'offre
Norton 360
Norton 360 Voir l'offre
Avast One
Avast One Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Cybercriminalité : avec la loi LOPMI, le gouvernement veut franchir un cap contre les ransomwares Cybercriminalité : avec la loi LOPMI, le gouvernement veut franchir un cap contre les ransomwares
Comment les hackers choisissent leurs victimes ? Comment les hackers choisissent leurs victimes ?
Ransomware : après les hôpitaux, les écoles sont-elles les prochaines cibles des pirates ? Ransomware : après les hôpitaux, les écoles sont-elles les prochaines cibles des pirates ?
Log4Shell : le ransomware Khonsari s’attaque aux serveurs Minecraft Log4Shell : le ransomware Khonsari s’attaque aux serveurs Minecraft
Spam téléphonique et CPF : bientôt la fin ! Spam téléphonique et CPF : bientôt la fin !