On dit que l’Enfer est pavé de bonnes intentions. Au niveau de l’État on se demande plus s’il n’est pas pavé d’incompétence. Notre cher gouvernement vient d’ouvrir une brèche dans la législation pour le paiement des cyber-rançons par les assureurs. Le texte est pas encore promulgué que les premiers effets s’en font sentir. La France voit son nombre de cyberattaques triplé en 15 jours !!!
La Direction Générale du Trésor de grands spécialistes
Notre petite histoire commence en juillet 2021, lorsque la DGT (Direction générale du Trésor) lance un groupe de travail et une consultation publique sur les assurances cyber. Il est à noter qu’en même temps la députée Valeria Faure-Muntian, présidente du groupe d’études assurances de l’Assemblée nationale, présenta en Novembre un état détaillé de la cyber-assurance avec quelques propositions pour lutter contre la cuber-criminalité.
Le 16 mars 2022, le gouvernement nous pond 13 mesures dont celle qui nous intéresse ici. Elle encadre le paiement d’une cyber-rançons par les assureurs sous condition d’un dépôts de plainte sous 48H.
Les principaux responsables, comme la députée Faure-Muntian sont vent debout lors de leur audition au Sénat en avril et dans les médias.
Pourtant le gouvernement n’en fait qu’a sa tête et en septembre 2022 publie le projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) avec dedans la fameuse mesure pour les assurances.
Un projet de loi qui envoie un mauvais signal
Sur le principe, le but du projet de loi est de mieux encadrer et de mieux être renseigné sur les cyberattaques.
En effet beaucoup de société ne portent pas plainte et payent en douce les pirates informatiques. Quand aux assureurs , même si beaucoup couvrent les sociétés pour ce type de préjudices dans leur contrats d’assurance, ils se font quand même tirer l’oreille pour payer.
L’idée de déposer plainte est donc aussi bien pour avoir une remontée statistiques que pour les poursuites judiciaires. On peut aussi imaginer que cela aurait pour conséquences d’avertir les usagers des services de sociétés piratées que leurs données sont dans la nature.
Les statistiques aussi permettront aux assureurs de pouvoir augmenter leur tarifs en s’appuyant sur des chiffres officielles. En effet la branche cyber des assureurs serait en déficit. La valeur médiane des rançons en 2021 se situerait dans les alentours de 6400 €uros. Bien sûr c’est une valeur médiane à prendre avec des pincettes.
Ce rapport propose des actions concrètes et crédibles pour développer un marché de solutions assurantielles, tout en renforçant la prévention du risque cyber. Il est issu d’une large concertation avec l’ensemble des acteurs concernés : fédérations d’entreprises, assureurs, experts du monde académique et superviseurs. Je souhaite que ces orientations soient mises en oeuvre le plus rapidement possible
On voit bien aussi que dans le commentaire du Ministre du Budget, que le second but du texte de loi est financier et de booster le marché.
Le revers de la médaille
Ce vœu pieux ne tient que dans un monde gouverné par les Bisounours. Soyons réaliste.
Le dépôt de plainte permet d’engager une enquête judiciaire. Le problème est que l’on voit mal des hackers à plusieurs milliers de kilomètres trembler de peur devant une telle menace.
Par contre, le message que les groupes de hackers ont reçu est tout autre. Ils savent maintenant qu’en France les entreprises vont payer rubis sur ongle les cyber-rançons.
Le résultat est immédiat on relève en 15 jours déjà près de 300% d’augmentation de cyberattaque. La France est devenue une cible de choix bien juteuse pour les organisations criminelles.Toutes les entreprises petites ou grandes seront ciblées. Devant le nombre de cyberattaques croissante et sous l’impulsion du texte de loi, il y a fort à parier que beaucoup d’entreprises vont souscrire à des contrats d’assurance.
Les deux seuls vrais gagnants seront donc les pirates et les milieux financiers sur le dos des entreprises.
