Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) se mobilise suite à la proposition d’inscrire un cadre réglementaire sur les conditions d’indemnisation des entreprises cibles d’attaques par ransomware.
Paris, le 26 septembre 2022 – A la suite de la publication du rapport de la Direction Générale du Trésor sur le risque cyber et le développement des assurances, le ministère de l’Économie et des Finances propose un cadre réglementaire afin d’obliger les assureurs à indemniser les entreprises victimes d‘attaques par ransomware, lorsque celles-ci paient la rançon demandée. Un projet qui fait débat auprès des professionnels de la cybersécurité des entreprises, et pour lequel le CESIN a interrogé ses membres.
Selon le dernier baromètre OpinionWay pour le CESIN, les attaques par ransomware touchent 1 entreprise sur 5. Un type d’attaque en augmentation constante qui impacte le marché de l’assurance cyber. Par ailleurs, 69% des répondants au baromètre 2022 affirment avoir souscrit une cyber-assurance.
Or, après plusieurs années d’engouement, les premiers bilans révèlent un moindre taux de satisfaction pour ceux qui ont eu recours à l’assurance, avec plus d’une entreprise sur 10 qui hésite à renouveler son contrat. Le CESIN notait par ailleurs une très forte hausse des tarifs, pour une baisse des couvertures et des niveaux d’exigence, quasiment inatteignables.
Le projet de loi présenté en Conseil des ministres conditionne l’indemnisation à l’obligation pour les victimes de déposer une plainte. Actuellement seules 50% des entreprises ayant subi une attaque ont porté plainte, selon notre baromètre.
Cette annonce provoque de vives réactions dans la communauté des professionnels de la cybersécurité, et soulève de nombreuses questions, comme le risque d’encourager le cybercrime, les pressions que pourraient exercer les assureurs auprès de leurs clients pour payer la rançon si celle-ci s’avère moins élevée que les coûts de remédiation, les risques accrus de récidives pour l’entreprise quand celle-ci a été estampillée « bon payeur » par la communauté des cybercriminels, la propagation d’intermédiaires indélicats pour négocier avec les criminels, etc. Quant aux réserves concernant les indemnisations sur les attaques lorsqu’elles sont d’origine étatique, elles ne sont simplement pas applicables tant les questions d’assignation sont complexes et les frontières floues.
Le CESIN a sondé ses membres sur ces dispositions réglementaires, le résultat révèle que 82% des 249 répondants se positionnent contre.