Plus de 80 % des membres du Cesin ont mal accueilli le projet de loi incitant au paiement des rançons. Selon eux, celui-ci risque d’entraîner un certain nombre de problèmes qui semblent ne pas avoir été pris en compte lors de son élaboration. Ils sont alors prêts à trouver une solution plus équilibrée avec les cyberassureurs et les parlementaires.
1 entreprise sur 5 subirait des attaques par ransomware et la situation, qui ne cesse aujourd'hui d'empirer, a un impact considérable sur le marché de l'assurance cyber. Le contrat devenant de moins en moins intéressant, les assurés sont actuellement nombreux à hésiter à le renouveler. D'autre part, le ministère de l'Économie et des Finances a présenté en Conseil des ministres un projet de loi les obligeant à déposer plainte pour pouvoir obtenir une indemnisation en cas de sinistre. Le nouveau cadre réglementaire fait l'objet de désaccord auprès de la plupart des membres du Cesin.
Le projet de loi proposé en Conseil des ministres
De nombreuses entreprises ont longtemps considéré l'assurance cyber risques comme étant la solution la plus intéressante pour se protéger en cas d'attaque par rançongiciel. Mais aujourd'hui, au moins 1 assuré sur 10 se montre hésitant à renouveler son contrat, notamment en raison d'une forte augmentation des tarifs et d'une couverture revue à la baisse.
En outre, la direction générale du Trésor a publié un rapport sur le développement des assurances et le risque cyber. À la suite de cette publication,
Le ministère de l'Économie et des Finances a proposé le nouveau cadre réglementaire contraignant les assureurs à indemniser les victimes de cyberattaque qui ont payé une rançon. L'indemnisation est conditionnée par un dépôt de plainte.
Ce qu'en pensent les membres du Cesin
Les conditions d'indemnisation prévues dans le projet de loi présenté en Conseil des ministres font polémiques chez les membres du Cesin. Le Club des experts de la sécurité de l'information et du numérique a alors interrogé ces derniers afin de savoir clairement ce qu'ils pensent des nouvelles dispositions réglementaires.
82 % des sondés se positionnent contre l'incitation au paiement des rançons.
Le Cesin comprend le fait que certains dirigeants d'entreprise veuillent récupérer à tout prix l'accès à leurs données pour préserver la pérennité de leurs activités. C'est pour cette raison qu'ils choisissent de payer les rançons.
Aussi, il faudrait plutôt les sensibiliser au risque cyber et leur expliquer comment ils peuvent protéger leurs biens immatériels.
Pour la majorité des membres du Cesin, les nouvelles dispositions réglementaires pourraient encourager le cybercrime.
Nombreux seront les intermédiaires qui chercheront à négocier avec les criminels. Les sociétés d'assurance, elles, risquent de profiter de la situation pour exercer des pressions sur leurs clients afin qu'ils paient la rançon dans le cas où les coûts de remédiation seraient plus élevés que la somme d'argent demandée.