Encadrer l’indemnisation d’une rançon par les assurances. Voilà l’une des ambitions du tout récent projet de loi d'orientation et de programmation du ministère de l’Intérieur (dit « LOPMI »). État des lieux.
« La France et l’Europe doivent rapidement développer et encadrer l’assurance en cas de cyberattaque ». Après avoir dénoncé les insuffisances du secteur, c’est à cette conclusion qu’arrivait fin 2021, la Délégation sénatoriale aux entreprises au Sénat.
Si 135 millions de primes ont été versées depuis 2013, la somme ne représente qu’à peine « 0,225 % des 60 milliards de l’assurance non-vie en France ». Or, rien qu’en 2021, « le revenu du cybercrime est évalué à 6 000 milliards de dollars », quand un an plus tôt, le nombre de victimes aurait été multiplié par 4.
Assurer le risque cyber et tout particulièrement le paiement d’une rançon ? Le projet de loi LOPMI, enregistré au Sénat le 7 septembre dernier, a tranché : c’est oui.
Un article 4 rajoute une disposition au Code des assurances, avec un dispositif qui a le mérite de la simplicité : les clauses de remboursement des rançongiciels par les assurances devraient à l’avenir être conditionnées par le dépôt d’une plainte de la victime. Et ce dépôt devra intervenir au plus tard 48 heures après le paiement de la cyberrançon.
Améliorer l’information du judiciaire
Dans son exposé des motifs, l’exécutif vante un système qui va améliorer « l'information des forces de sécurité et de l'autorité judiciaire ». Et pour cause, les victimes seront obligées de sortir du bois.
À ce jour, « beaucoup de personnes morales et même de particuliers renoncent à faire valoir leur droit de victime, craignant de reconnaitre leur vulnérabilité et que cette démarche ne porte atteinte à leur image » relève la place Beauvau, dans l’étude d’impact associée au projet de loi.
Autre mérite, sans grandes explications : un tel dispositif va « "casser" le modèle de rentabilité des cyber attaquants ».
Comment l’exécutif justifie cette couverture
La démarche peut surprendre, dans la mesure où l’ANSSI recommande imperturbablement de « ne pas payer la rançon ». Son dossier sur le sujet relève d'ailleurs que le paiement « ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux ».
Le ministère a cependant une autre analyse, adossée à un changement de contexte : « si la posture des services compétents a toujours été de recommander le non-paiement des rançons, la dégradation rapide de la situation appelle à une action publique plus déterminée afin de s'assurer, que dans les cas où une rançon a été payée, les autorités compétentes disposent des informations nécessaires pour poursuivre les auteurs de l'infraction ».
Pour l’Intérieur, « du point de vue de la victime et de son assureur, le paiement des rançons apparaît parfois comme une solution viable à court terme pour limiter les coûts ». Et l’étude d’impact de constater également que le marché de l’assurance en risque cyber est encore « en développement », où 95 % des entreprises ne sont pas couvertes. « Une sous-couverture globale d'assurance cyber fait courir des risques pour l'ensemble de l'écosystème des entreprises en raison d'importants risques de contagion (sous-traitants, fournisseurs, clients, partenaires commerciaux...) ».
Rien n’interdirait juridiquement ce paiement
Dans l’analyse juridique de l’article 4 du projet de loi, le gouvernement considère que rien n’interdit le paiement de la rançon. Ce paiement par la victime « ne constitue ni un délit ni un acte de complicité », insiste-t-il.
Analyse que partage notamment Christophe Delcamp, directeur adjoint au Pôle assurances de dommages et responsabilité de la Fédération française de l'assurance. « Est-il légal d'assurer le remboursement des paiements de rançons par les chefs d'entreprise ? Le droit, aujourd'hui, le permet. Ce n'est pas non plus interdit à l'international », exposait-il au Sénat en novembre 2021.
Le gouvernement concède que conditionner la couverture assurantielle au dépôt d’une plainte serait une atteinte à la liberté contractuelle. Cependant, dans sa mise en balance, c’est aussi un moyen pour le pouvoir judiciaire de réagir rapidement pour éviter les répliques.
Plusieurs options étaient sur sa table, par exemple celle d’interdire purement et simplement ce paiement de la rançon par les assureurs. Mis à l’honneur dans le rapport de juin 2021 des sénateurs Sébastien Meurant et Rémi Cardon, portant sur la cybersécurité des entreprises, l’idée n’aurait cependant de sens qu’à l’échelle de l’UE. À défaut ? Elle inciterait « les acteurs à s'assurer auprès de compagnies européennes non assujetties à cette règle ».
Une réponse plus rapide, une information systématique
L’option finalement retenue dans le projet de loi, à savoir conditionner « le paiement des garanties assurantielles en cas de rançongiciel au dépôt de plainte par la victime dans un délai de quarante-huit heures », est finalement la seule qui a trouvé grâce aux yeux du gouvernement.
Le régime ne change rien à l'état de l'art, mais aurait le mérite d’offrir « une réponse plus rapide et plus efficace des services de l'État, informés plus tôt et plus systématiquement » et ce, afin de limiter au global les coûts de cette e-délinquance.
On comprend cependant assez mal comment sera cassé « le modèle de rentabilité des cyber-attaquants », quand l’étude d’impact relève que son principal inconvénient « réside dans le fait qu'elle puisse être interprétée par le marché, le grand public et les futures victimes comme un blanc-seing du législateur pour procéder au paiement de rançons en cas de rançongiciel ».
« Nous payons trop facilement »
Des propos qui contrastent aussi avec ceux prononcés le 15 avril 2021 au Sénat, lors de cette table ronde portant sur la cybersécurité des ETI, PME et des TPE.
Appelant à « durcir le ton face au paiement des rançons », la cyber-procureur Johanna Brousse regrettait que la France soit devenue l’un des pays les plus attaqués en matière de ransomware « parce que nous payons trop facilement ».
« Nous nous sommes rendu compte que les assureurs garantissaient le paiement des rançons ». Or, pour la vice-procureur de la section J3 dédiée à la cybercriminalité, « payer la rançon pénalise tous les autres, car les hackers (comprendre les pirates, ndlr) s’en prendront plus facilement à notre tissu économique ».
Pour elle, un seul mot d’ordre : « en matière de ransomware, nous ne voulons plus payer et nous n’allons plus payer ».
Analyse partagée par Guillaume Poupard, qui a mis à l’index le « jeu trouble de certains assureurs », souhaitant dans le même temps faire la chasse aux « intermédiaires gris ». Ces acteurs qui ont développé un business du paiement de ces sommes, tout en se rémunérant sur leur capacité à négocier avec les criminels. « C’est extrêmement malsain » concluait le directeur de l’ANSSI, pressentant un résultat « catastrophique ».
Sur la couverture assurantielle des rançons, le directeur de l’Agence nationale relevait au passage plusieurs particularismes, et autant de témoignages de la complexité du sujet. « Si on peut difficilement avoir des incendies partout au même moment, dans le cyber, tout le monde peut être victime en même temps ».
Il n’y a pas que ces effets systémiques. Lors d’une telle attaque, les entreprises peuvent aussi être victimes collatérales d’actes de guerre ou du terrorisme. Or, l’article l. 121-8 du Code des assurances impose de ne pas couvrir les dommages causés par une guerre étrangère. Quant au terrorisme, il existe un programme de co-assurance assuré par le GIE GAREAT, avec des règles très spécifiques.
Le feu vert de la DG Trésor
La prudence des uns tranche avec celle des autres. Ce régime en gestation est plébiscité par la DG Trésor elle-même, comme en témoigne son rapport sur la cyber-assurance, tout juste publié.
La direction générale, installée à Bercy, anticipe déjà plusieurs déclinaisons vertueuses, avec pourquoi pas une coopération aiguisée entre les assureurs et les forces de sécurité, une bonne parole « cyber » portée par les fédérations professionnelles, voire un partage des données anonymisées vers l’ANSSI, « afin d’affiner la connaissance de la menace cyber ».
Bercy lance plusieurs appels du pied aux assureurs, notamment pour inciter les entreprises « à adopter des bonnes mesures de protection cyber pour prévenir le risque de sous-investissements (…) en matière de sécurité ».
Un « ciblage accru des entreprises françaises » du fait de cette assurabilité ? Ces craintes sont repoussées sans ménagement par la DG au motif qu’ « aucun État de l’OCDE n’interdit la couverture de ce risque ».
Commentaires (21)
#1
“Et ce dépôt devra intervenir au plus tard 48 heures après le paiement de la cyberrançon”
“« assujettir le paiement des garanties assurantielles en cas de rançongiciel au dépôt de plainte par la victime dans un délai de quarante-huit heures »”
Du coup, je ne comprends pas tout. J’ai pourtant relu 2 fois, je dois être un peu boulet :) Ou c’est le départ de Marc qui me perturbe !
Il faudra le déclarer dans les 48h ou dans les 48h après paiement ?
Très intéressant en tous cas, même si je trouve vraiment cela perturbant d’encourager le paiement, en plus en allant à contre courant de l’ANSSI.
#2
Cependant, dans sa mise en balance, c’est aussi un moyen pour le pouvoir judiciaire de réagir rapidement pour éviter les répliques.
Est-ce qu’il y a des vrais succès judiciaires / policiers dans la recherche des criminels surtout à l’étranger ?
On entends bcp parler des attaques, moins des succès.
Le problème est que même si ça demande de la technicité, il y a une organisation en silo (comme pour le transport de drogue) qui fait que les rare qui sont attrapés ne sont que des seconds couteaux.
Pour un “hacker” il y a tout à y gagner (surtout en bitcoin) à s’engager dans ce genre d’action tant que le bitcoin demeure convertible. Quand c’est pas carrément soutenu par le gouvernement dans un cadre de guerre économique et/ou idéologique.
Si assurance il y a il faut surtout forcer les entreprises à établir un PRA, au même titre qu’elles déposent une liasse fiscale et autres obligations administratives.
PRA qui servira en cas de ransomware mais aussi catastrophe (coucou ovh) ou autre panne de courant hivernale…
#3
+1
Il me semble que l’assureur peut accepter d’assurer si et seulement si tu te conformes à certaines règles (mettre une porte 3 points, un détecteur d’incendie). Il faut contraindre les entreprises à avoir des sauvegarde et à arrêter de confier des postes informatique avec les droits administrateurs à leur employés.
#3.1
Ah non, j’aime pas quand l’IT veut pas me donner les droits admin, après je suis obligé de kidnapper leurs enfants pour qu’ils me les donne et que je puisse travailler. Et après je me sens coupable…
#3.2
Bien le bon courage pour ça. Mettre en place un PRA c’est pas une sinécure. Ca demande des sous et de la compétence et de la volonté.
Sur l’article c’est vraiment absurde de lâcher sur ce sujet. Les assurances vont juste exclurent des tonnes de situations qui ne vont finalement que les rendre plus riches. Encourager plus fortement les entreprises à endurer ces attaques devrait être le vrai objectif ici.
Un jour on en rira, j’en suis sûr.
#4
« Si 135 millions de primes ont été versées depuis 2013, la somme ne représente qu’à peine « 0,225 % des 60 milliards de l’assurance non-vie en France ». Or, rien qu’en 2021, « le revenu du cybercrime est évalué à 6 000 milliards de dollars », quand un an plus tôt, le nombre de victimes aurait été multiplié par 4. »
Et donc ? J’aime bien les articles de Marc mais ce paragraphe ne fait que citer un tas de n’ombres, de dates et de pourcentages en laissant le lecteur faire le lien entre tous … Je dirais bien « Kamoulox » ou « le compte est bon ».
#4.1
Question : la publicité conditionnant l’accès à une ressource par du temps d’attention est-elle un rançongiciel ?
Combien de Mds de Dollars la pub “ciblée” ?
Dans le domaine du social ingeneering c’est pas kamoulox, c’est banco.
#5
Les pirates vont s’en donner à coeur joie de savoir que leurs activités criminelles peut maintenant être couvertes par les assurances.
On risque que les entreprises se laissent un peu aller sur les mesures de sécurité a prendre pour éviter les ransonwares
#5.1
Euh, je ne sais pas d’où vous sortez mais certains assureurs remboursaient déja les attaques dont les ramsomware car considéré comme risque informatique. Ici, on trouve surtout une clarification pour les assureurs ce qui était demandé quant même depuis deux ans.
Après rien n’empêche à des assureurs le droit de marquer nous assurons tel ou tel type de risque mais pas le ransomware.
#6
Le ministère a cependant une autre analyse, adossée à un changement de contexte : « si la posture des services compétents a toujours été de recommander le non-paiement des rançons, la dégradation rapide de la situation appelle à une action publique plus déterminée afin de s’assurer, que dans les cas où une rançon a été payée, les autorités compétentes disposent des informations nécessaires pour poursuivre les auteurs de l’infraction ».
Ils auront un compte en bitcoin et du coup comment ils remontent à l’auteur ?
Il manque in truc, c’est que le remboursement intégral de la rançon doit être conditionné par des mesures de sécurité misent en place par l’entreprise… Vous n’avez pas fait d’investissement en sécurité on vous rembourse que 10% de la rançon
#6.1
Dans une logique de bon gestionnaire, autant mettre la prime d’assurance dans la sécurité informatique !
Très souvent la meilleure assurance c’est celle que tu te fais tout seul, surtout quand l’aléa est très réduit, même si le cout du risque est important. Investir dans la sécurité c’est réduire l’aléa voir le supprimer, donc autant ne payer une assurance !
#6.2
En fait, avant de souscrire, tu dois déjà répondre a un questionnaire. Un peu comme pour obtenir un prêt… Pas de pare-feu ou pas de MFA, ou pas de Antivirus, ou des PC pas à jour = on assure pas. Il y en a qui demandent même le PRA… Ca limite déjà le risque.
Mais avant de balancer 300-600€ par mois dans l’assurance, je pense qu’il faut déjà les balancer dans la sécurité et la sauvegarde.
#7
Ah, les assurances et si peu d’analyse objective de rentabilité à leur souscription ! Vaste débat.
Pour la rendre obligatoire, la première étape est de l’encourager volontairement. Y a-t-il derrière un projet de refuser l’assistance à des entités attaquées à ceux qui seraient en défaut, voire considérer celui-ci comme délit ou crime ?
Quelle dose de lobbying des assureurs dans cette entité ? Je ne connaissais en tous cas jusqu’alors pas.
#8
#9
“le gouvernement considère que rien n’interdit le paiement de la rançon” : Drôle d’analyse. De nombreux groupes d’attaquants sont issus de pays étant sous le coup de sanctions (Iran, Corée du Nord…), je ne suis pas du tout certain que le paiement soit juridiquement possible tout le temps. Un avis, Marc ?
#9.1
Je tique aussi.
Surtout que ça pourrait être (dans certain cas) comme un financement d’association terroriste.
Sinon j’ai l’impression que les assurances sont chaude pour essayer de couvrir le risque (et donc se faire plus de thune), mais elles ne semblent pas se rendre compte du risque réel derrière.
La réassurance de ce genre de truc, ça va être joli quand un assureur va devoir payer 10 rançons a plusieurs millions le même jour…
#10
#10.1
Si tu prends une assurance et que tu fais un faux sur le questionnaire, autant ne pas en prendre, car ne t’inquiète pas, le jour ou tu vas faire appel à eux, ils vont faire les vérifications avant de te verser 1€..
Vu que le paiement est effectué en cryptomonnaie, je ne vois pas ce qui le bloquerait ? (je ne m’y connait pas grand chose sur les sanctions et contrôles). Et il faudrait savoir d’où est issu l’attaquant au moment du paiement. Je ne sais pas si c’est possible.
#11
En même temps, vu que la solution à tous les problèmes du gouvernement est de sortir le carnet de chèque et de se féliciter devant les médias de résoudre les problèmes, pouvait-on raisonnablement attendre autre chose ?
Ce qui est marrant, c’est que tout un écosystème s’est développé autour des entreprises attaquées :
Et le gouvernement, contre l’avis d’experts, veut rendre ce comportement standard mais surtout assumé. Là où avant les entreprises cachaient ces attaques, elles pourront dorénavant fièrement annoncer qu’elles ont eu des attaques, certes, mais elles ont déposé plaintes. Avec ça, les méchants Russes & Nord Coréens n’ont qu’à bien se tenir!
Par contre, les budgets sont toujours faméliques (malgré les effets d’annonce) sur de vraies solutions de sécurité, sur du recrutement et de la formation, ou même juste pour supprimer la dette technologique …
#12
Oui alors que cette dette est logiquement une innovation. Les futurs débitteurs ont donc le choix entre plusieurs solutions mais doivent bien entendu fermer les yeux sur les aspects collectifs de leur engagement et les implications nouvelles souvent très différentes en nature des implications passées si on prend l’exemple de services substitués.
#13
A priori, pas systématiquement : Le total des cryptomonnaies, c’est environ 1000 milliards $ et au plus haut, c’était 3000 milliards. Or l’article parle d’un “revenu du cybercrime est évalué à 6000 milliards de dollars” sur 2021. Ni la quantité, ni la vélocité des cryptomonnaies ne permettent de récolter les 6000 milliards en question. Il y a forcément, en plus des cryptos, d’autres choses comme forme de payement. Je suis d’ailleurs curieux de savoir lesquels…