Cyberattaques : bientôt une indemnisation pour les entreprises

Un hackers
Image par Michael Treu de Pixabay

 

Le Sénat a validé la semaine dernière une disposition qui permettra bientôt aux entreprises victimes de cyberattaques de se faire indemniser pour une rançon payée aux hackers. Cette mesure, quoique salutaire, pourrait inciter les pirates informatiques à multiplier les intrusions et à demander de plus importantes sommes d’argent.

Réagir très vite pour éviter de verser des rançons

Les sénateurs français ont adopté, le mercredi 12 octobre, le projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) fixant la trajectoire budgétaire pour les cinq années à venir. Se faisant, ils ont validé l’article 4, qui pose le principe le principe de l’assurabilité des paiements de rançon en cas d’attaques aux ransomwares.

Si le 7 septembre, la direction générale du Trésor avait donné son feu vert à une indemnisation sous condition d’un dépôt de plainte dans les 48 heures, les amendements apportés conditionnent l’assurance de la rançon au dépôt d’une pré-plainte dans les 24h suivant l’attaque et avant tout paiement. L’objectif est de réduire le nombre de rançons versées en réagissant très vite. En effet, plus les attaques sont signalées rapidement, plus la récupération des données ou la négociation en est facilitée.

Une disposition contre-productive ?

S’il vise à renforcer la lutte contre les cyberattaques, l’article 4 du projet LOPMI a fait cependant l’objet de critique. On pense qu’un tel dispositif serait une sorte de passe-droit au crime. Il encouragerait le cybercrime et la récidive. Il pousserait ainsi les hackers à multiplier leurs attaques informatiques pour obtenir plus d’argent. D’ailleurs, les pirates s’enhardiraient en demandant des sommes de plus en plus importantes puisque c’est l’assurance qui paie désormais avec le soutien de l’Etat.

Par ailleurs, cette disposition favoriserait « la propagation d’intermédiaire douteux lors des négociations ainsi que l’exercice d’une pression de la part des assureurs auprès de leurs clients pour les forcer à payer la rançon si celle-ci s’avère moins élevée que les frais de remédiation », a fait valoir le sénateur LR, François Bonhomme. Le mécanisme s’avère donc contre-productif. Mais l’Etat ne partage pas cet avis. Le ministre de l’Intérieur Gérald Darmanin estime qu’il s’agit de « la solution la moins mauvaise ».

En opposition à l’avis de l’ANSSI

L’exécutif oppose le fait que les entreprises s’assurent déjà sans qu’on le sache. Donc avec un dépôt de plainte, il aurait beaucoup plus de moyens de lutter contre la cybercriminalité. François Bonhomme et Nathalie Goulet (centriste) notent toutefois qu’il subsiste une ambiguïté par rapport à la position de l’ANSSI (agence nationale de la sécurité des systèmes d’information). En août 2020, l’autorité conseillait de ne jamais payer la rançon en cas d’attaques cyber.

Elle pense que le paiement ne garantit pas l’obtention d’un moyen de déchiffrement et incite les cybercriminels à poursuivre leurs activités. Par conséquent, il entretiendrait un système frauduleux. Mais M. Darmanin assure que le gouvernement a la même doctrine. « Il ne faut évidemment pas payer les rançons. Mais les assurances existent pour payer une rançon », a soutenu le ministre. Enfin, le gouvernement croit que l’article 4 permettra de recenser enfin toutes les attaques ransomwares impliant le paiement d’une rançon.

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.