.jpeg)
Rançongiciels : les répercussions d’un nouveau cadre réglementaire pour l’indemnisation par les cyber-assurances
Le Club des Experts de la Sécurité de l'Information et du Numérique (CESIN) se mobilise suite à la proposition d’inscrire un cadre réglementaire sur les conditions d’indemnisation des entreprises cibles d’attaques par ransomware.
A la suite de la publication du rapport de la Direction Générale du Trésor sur le risque cyber et le développement des assurances, le ministère de l’Économie et des Finances propose un cadre réglementaire afin d’obliger les assureurs à indemniser les entreprises victimes d‘attaques par ransomware, lorsque celles-ci paient la rançon demandée. Un projet qui fait débat auprès des professionnels de la cybersécurité des entreprises, et pour lequel le CESIN a interrogé ses membres.
Selon le dernier baromètre OpinionWay pour le CESIN, les attaques par ransomware touchent 1 entreprise sur 5. Un type d’attaque en augmentation constante qui impacte le marché de l’assurance cyber. Par ailleurs, 69% des répondants au baromètre 2022 affirment avoir souscrit une cyber-assurance.
Or, après plusieurs années d’engouement, les premiers bilans révèlent un moindre taux de satisfaction pour ceux qui ont eu recours à l’assurance, avec plus d’une entreprise sur 10 qui hésite à renouveler son contrat. Le CESIN notait par ailleurs une très forte hausse des tarifs, pour une baisse des couvertures et des niveaux d’exigence, quasiment inatteignables.
Le projet de loi présenté en Conseil des ministres conditionne l’indemnisation à l’obligation pour les victimes de déposer une plainte. Actuellement seules 50% des entreprises ayant subi une attaque ont porté plainte, selon notre baromètre.Cette annonce provoque de vives réactions dans la communauté des professionnels de la cybersécurité, et soulève de nombreuses questions, comme le risque d’encourager le cybercrime, les pressions que pourraient exercer les assureurs auprès de leurs clients pour payer la rançon si celle-ci s’avère moins élevée que les coûts de remédiation, les risques accrus de récidives pour l’entreprise quand celle-ci a été estampillée « bon payeur » par la communauté des cybercriminels, la propagation d’intermédiaires indélicats pour négocier avec les criminels, etc. Quant aux réserves concernant les indemnisations sur les attaques lorsqu’elles sont d'origine étatique, elles ne sont simplement pas applicables tant les questions d'assignation sont complexes et les frontières floues.
Le CESIN a sondé ses membres sur ces dispositions réglementaires, le résultat révèle que 82% des 249 répondants se positionnent contre.
Le CESIN est cependant bien conscient que certains dirigeants de PME-PMI, qui n’ont pas suffisamment anticipé le risque cyber, sont tentés de payer les rançons pour pouvoir récupérer l’accès à leurs données lorsque la pérennité de leur entreprise est en jeu. A l’instar des obligations qu’a un dirigeant de PME/PMI pour la protection des biens matériels et des personnes, ce dernier devrait également être sensibilisé au risque cyber et formé à appliquer des mesures essentielles pour protéger les biens immatériels de son entreprise. La cyberassurance devient alors un dispositif complémentaire à ces mesures de sécurité pour ces entreprises et le paiement des rançons ne serait alors plus un sujet.
En ce qui concerne les grandes entreprises, au regard de l’inflation des primes d’assurance et de la réduction de la couverture, la tendance est au questionnement, voire au désengagement vis-à-vis du dispositif assurantiel.
Une voie plus équilibrée reste à trouver sur le marché de l’assurance et cette voie ne devrait pas passer par l’incitation au paiement des rançons. Le CESIN est disposé à travailler avec les parlementaires et les cyber-assureurs afin d’avancer positivement sur ce marché, bousculé entre fluctuations financières et réglementation compliquée.
Auteur : CESIN.
Continuer avec Linkedin