Un rapport parlementaire milite pour le non-paiement des cyberrançons

le 14/10/2021 L'AGEFI Quotidien / Edition de 7H

La députée Valéria Faure-Muntian énonce, dans son rapport, 20 propositions dont la création d’un pôle de cyberdéfense offensif ou encore un partenariat public-privé.

Payer ou ne pas payer la cyberrançon ?
La députée LREM veut inscrire dans la loi l’interdiction pour les assureurs de garantir, couvrir ou indemniser la rançon lors de cyberattaques.
(Image Mohamed Hassan/Pixabay)

C’est presque un pavé jeté dans la marre. Alors que les défis et limites de l’assurance du risque cyber ne cessent d'apparaître au grand jour avec l’accélération de la digitalisation durant la pandémie, la députée LREM Valéria Faure-Muntian entend faire avancer les choses. La présidente du groupe d’études Assurances à l’Assemblée nationale a rendu public un rapport dans lequel elle énonce 20 propositions pour «clarifier et définir les termes propres au champ du risque cyber, avant de délimiter une législation efficace susceptible de le réguler», «garantir la résilience et la défense des entreprises et collectivités françaises» et dynamiser le marché de la cyberassurance.

En définissant le risque cyber comme un ensemble de risques liés à une utilisation malveillante des systèmes informatiques et des technologies de l’information des particuliers, administrations ou entreprises, Valéria Faure-Muntian veut clarifier le volet juridique de l'assurance cyber. Ainsi, sur le paiement des rançons, qui fait débat entre les assureurs, elle tranche : «il convient d’inscrire dans la loi l’interdiction pour les assureurs de garantir, couvrir ou d’indemniser la rançon». Ce choix est justifié par l’alimentation de la cybercriminalité, l’encouragement à la récidive mais aussi l'incertitude sur la récupération des données malgré le paiement de la rançon. 

Sensibilisation
et pôle de cyberdéfense offensif 

Jérôme Notin, directeur général du Groupement d’intérêt public action contre la cybermalveillance (GIP ACYMA), rappelle dans la préface du rapport que «pour commencer à se protéger, il faut déjà prendre conscience des risques pour en accepter les contraintes». C'est pourquoi une sensibilisation annuelle des salariés des petites et moyennes entreprises (PME) au sujet est proposée. «Du civil au militaire, en passant par la police, la gendarmerie et la justice, il convient de renforcer la formation en cybersécurité», résume, de manière générale, le rapport. Seules les entreprises qui travaillent pour ou avec l’État et des opérateurs fournissant des services vitaux pour l’économie (OIV/OSE) se verraient alors obligées de se doter d'une police d'assurance cyber. Valéria Faure-Muntian propose aussi d’augmenter le soutien économique au GIP ACYMA pour la mise en place d’un futur observatoire national de la menace et du risque numérique.

En outre, la députée souligne que «si la cyber protection d’une partie du monde économique français est assurée par l’Anssi (Agence nationale de la sécurité des systèmes d'information), la cyberdéfense en la matière est une grande absente» puisque le commandement de la cyberdéfense des armées (COMCYBER) est limité à des finalités d’intérêts militaires.  C’est pourquoi la proposition numéro 13 suggère de «créer au sein de l’État une agence nationale dédiée à des opérations cyber-offensives dans le secteur économique et industriel». Ce manque de possibilités offensives est aussi critiqué par d’autres dans le secteur financier. Bernard Gavgani, global chief information officer chez BNP Paribas déplore ainsi «qu’une banque ne puisse pas riposter à une attaque».

Partenariat public-privé 

Pour dynamiser le marché de l’assurance, les compagnies doivent monter en compétence sur leur propre risque et l’exposition de leur portefeuille. Puisqu’aucun acteur ne peut porter le risque seul, «il faut une coordination permettant aux assureurs européens de joindre leurs efforts», affirme la députée, proposant d’«envisager le partenariat public-privé pour le segment systémique du risque cyber».  Une vision appelée de ses vœux par Frédéric de Courtois, directeur général d’Axa, lors de la présentation du Futur Risks Report d’Axa, dans lequel le risque cyber prend la deuxième place.

Valéria Faure-Muntian énonce deux dernières propositions pour dynamiser l'offre assurantielle : «créer une nouvelle branche d’assurance dédiée à la cyberassurance» et «développer des solutions hybrides de cybersécurité et de cyberassurance pour les PME et les collectivités territoriales». 

L’exécutif s’attaque au sujet

Ce rapport est publié quelques semaines après que Bercy a lancé un groupe de travail portant sur «le développement d’une offre assurantielle de couverture des risques cyber» avec l’objectif de présenter un plan d’action début 2022. Il associera les acteurs publics, privés et académiques et étudiera les moyens pour clarifier les clauses d'assurance, les leviers pour mieux mesurer les risques, la mutualisation des risques et le développement du capital humain. Valéria Faure-Muntian déclarait en juillet à L'Agefi espérer que les conclusions réciproques émergeraient rapidement. Elle précisait vouloir rendre le rapport début octobre «ce qui permettrait, en cas d’incitations fiscales sur le sujet cyber, de pouvoir les intégrer au projet de loi de Finances 2022», rentré en première lecture à l'Assemblée en début de semaine.
Emmanuel Macron a aussi présenté en début d’année une stratégie nationale pour la cybersécurité avec une enveloppe additionnelle de plus d’un milliard d’euros, dont 515 millions de l’État. L'un des projets phares est l’ouverture du campus cyber qui «prévoit de mettre en place des actions visant à fédérer la communauté de la cybersécurité et à développer des synergies entre ces différents acteurs». Des assureurs, à l’image d’Axa, ont rejoint l’initiative.  

Sur le même sujet

A lire aussi