Un rapport du Parlement propose une action contre les cyberattaques

Le rapport de Valéria Faure-Muntian (37-page / 1.4MB PDF) - députée de la Loire et présidente du groupe d'étude sur les assurances de l'Assemblée nationale - formule un certain nombre de recommandations sur les réponses aux cyberattaques. L'ANSSI (Agence nationale de la sécurité des systèmes d'information) estime que le nombre de cyberattaques a quadruplé depuis le début de la pandémie de Covid-19, et compte en 2020 une augmentation de 225 % des signalements d'attaques par rapport à 2019.

Mais Annabelle Richard, experte en technologie, a déclaré que les entreprises n'ont parfois guère le choix dans leur manière de réagir, notamment aux attaques de logiciels rançonneurs.

"Il est facile de comprendre la position des auteurs de ce rapport concernant la prise en charge des rançongiciels par les cyber-assurances et les différents risques que cela génère", a-t-elle déclaré. "Néanmoins, il ne faut pas oublier que pour un certain nombre d'organisations, le non-paiement de la rançon n'est pas une option car c'est le seul moyen pour elles de récupérer leurs données et de restaurer leur outil de travail."

“Malheureusement, en France, de nombreuses organisations ne sont pas assez matures en termes de préparation à un cyber incident. De ce fait, l'interdiction de la prise en charge des rançons par leurs assureurs pourrait signer leur arrêt de mort. Avant de pouvoir envisager ce type d'interdiction, il semble donc nécessaire de commencer par aider et encourager les entreprises françaises à mieux se préparer à ce type d'incident", a déclaré Maître Richard.

Le rapport propose de clarifier et de définir le droit relatif aux cyber-risques et aux cyber-attaques. L'adoption d'une définition commune du cyber-risque et de la cyber-attaque permettrait d'unifier les éléments de langage. Il indique qu'une législation est nécessaire pour établir des règles sur le paiement des logiciels rançonneurs.

Elle évoque l'obligation pour les entreprises qui travaillent pour et/ou avec l'État et/ou les opérateurs d'intérêt vital (OIV) / opérateurs de services essentiels (OSE) d'adopter une police d'assurance cybernétique.

Afin de mieux prendre en compte le risque cyber, l'EIOPA (Autorité européenne des assurances et des pensions professionnelles) entend promouvoir le développement d'un système harmonisé d'assurance des risques. Les compagnies d'assurance ont formalisé leur propre classification des dommages couverts comme le coût de l'atteinte à la vie privée, ou tous les coûts, dépenses et frais nécessaires encourus par l'assuré, ou encore ceux nécessaires à la restauration des données et systèmes informatiques perdus ou compromis. Dans le domaine des cyber-attaques, le secteur de l'assurance a défini la notion de cyber-perte d'exploitation comme la période pendant laquelle l'assureur remboursera l'assuré pour la perte de revenus et les dépenses opérationnelles. 

En 2020, le cyber risque a été la première menace pour l'économie française selon le baromètre annuel des risques publié par Allianz. La pandémie a introduit de nouveaux risques de sécurité, notamment pour les entreprises dont les employés travaillent depuis leur domicile plutôt que depuis les réseaux numériques contrôlés par l'entreprise. Les assureurs ont développé des polices d'assurance cybernétique depuis plusieurs décennies, d'abord aux Etats-Unis et au Royaume-Uni, puis en France. Si les grands groupes sont conscients des cyber-risques, les petites entreprises et les collectivités locales restent souvent démunies, tant sur le plan technique que juridique, face aux cyber-attaques.

Jérôme Notin, directeur général du Groupement d'intérêt public Action contre la cyber-maltraitance,  a déclaré dans le rapport :  "Pour commencer à se protéger, il faut déjà prendre conscience des risques pour en accepter les contraintes. Et ces risques sont réels : l'actualité le démontre presque quotidiennement. Ce premier pas franchi, il faut comprendre qu'une très grande majorité des cyber-attaques pourraient être évitées si des mesures simples étaient respectées comme une bonne gestion des mots de passe, si les mises à jour de sécurité étaient régulièrement appliquées, si toutes les données étaient régulièrement et correctement sauvegardées."

Le directeur général de l'ANSSI Guillaume Poupard a précisé dans le rapport : "L'interdiction ou du moins l'encadrement strict de la prise en charge du paiement des rançons dans les contrats de cyber-assurance semble aujourd'hui indispensable pour mettre tous les assureurs sur un pied d'égalité, tout en asséchant considérablement la manne financière des cybercriminels. D'autre part, les assurances peuvent jouer un rôle essentiel dans la prise en compte du cyber risque par les entreprises. Elles ont un pouvoir incitatif qui pousse leurs assurés à se conformer aux bonnes pratiques de cybersécurité, voire à réaliser des audits réguliers pour évaluer leur niveau de maturité."