H_Ko - stock.adobe.com

Ransomware : Bercy veut conditionner l’indemnisation de la rançon au dépôt de plainte

La direction générale du Trésor vient de rendre public son rapport sur le développement de l’assurance du risque cyber. Loin de s’opposer à l’indemnisation du paiement des rançons, il s’avère déjà controversé.

Le sujet de l’assurabilité des rançons versées à l’issue de cyberattaques n’était pas consensuel. Le rapport de la direction générale du Trésor sur le développement de la cyberassurance ne va pas apaiser les débats. Tout juste publié, il fait déjà fortement réagir le landernau de la cybersécurité, ne serait-ce que sur les réseaux sociaux.

Dans son rapport, la direction générale du Trésor prend acte du développement encore très limité du marché de l’assurance cyber. Mais elle y voit un « levier de renforcement de la résilience des acteurs économiques ». Dès lors, elle estime qu’il « est recommandé de favoriser le développement du marché de l’assurance du risque cyber pour renforcer la résilience de notre économie et faire de la Place de Paris un pôle européen d’expertise en la matière ». Et de formuler 18 propositions articulées autour de 4 axes.

La proposition est de « conditionner l’indemnisation d’une assurance cyber-rançons au dépôt de plainte de la victime. »
Rapport de la direction générale du Trésor

Le premier vise à « clarifier le cadre juridique de l’assurance du risque cyber ». Et c’est lui qui anime les débats, car il n’est pas question d’interdire l’indemnisation du paiement des rançons, comme l’avait préconisé le rapport parlementaire de Valéria Faure-Muntian à l’automne dernier. La proposition est de « conditionner l’indemnisation d’une assurance cyber-rançons au dépôt de plainte de la victime ». Objectif : « renforcer [l’]accompagnement [de la victime] et améliorer les opérations d’investigation des autorités de police, justice et gendarmerie ».

Pour beaucoup, cette approche vient contredire les conseils de l’Agence nationale de la sécurité des systèmes d’information (Anssi) : « il est recommandé de ne jamais payer la rançon. Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux ».

Pour autant, l’approche du Trésor s’inscrit dans la continuité de celle de Beauvau, qui semblait, au printemps, chercher à rendre obligatoire la déclaration de paiement de rançon. Outre-Atlantique, une disposition comparable s’applique aux opérateurs d’infrastructures critiques : ceux-ci doivent déclarer aux autorités tout paiement de rançon suite à une cyberattaque, sous 24h.

Le message implicite est simple : évitez de payer, mais si cela semble être la seule option, faites-le d’une manière qui permette de suivre l’argent. Car suivre la trace des paiements en bitcoin n’est pas nécessairement trivial, mais c’est loin d’être impossible. C’est ce qui peut conduire à la saisie de sommes extorquées voire à l’arrestation de malfaiteurs impliqués dans l’économie mafieuse des rançongiciels.

Au-delà, le Trésor avance des propositions pour « mieux appréhender et mesurer le risque cyber », « améliorer le partage du risque entre assurés, assureurs et réassureurs », et « accroître les efforts de sensibilisation des entreprises au risque cyber ». Là, les TPE et PME sont clairement visées : très majoritairement non couvertes pour le risque cyber, elles représentent un important potentiel d’élargissement de l’assiette des cotisations collectées susceptible d’aider à solidifier et rendre plus soutenable l’assurance cyber.

Le rapport du Trésor revient, dans ses propositions, sur l’idée de création d’un observatoire de la menace cyber. C’était l’une des idées clés de la création du GIP Acyma, porteur du portail cybermalveillance.gouv.fr.

Plus tôt cette année, la Cour des comptes relevait que le GIP a commencé ce travail en 2018, avant de formaliser en 2019 ce travail « par la production d’indicateurs présentant l’état de la menace à partir de l’analyse des recherches d’assistance des différentes catégories de public ».  

Un groupe de travail devait produire, fin 2020, des propositions « sur le périmètre, l’organisation et les moyens nécessaires à la constitution de ce futur observatoire ». Ce qui ne fut pas fait. Dans son rapport, la Cour des comptes insistait : « ces travaux internes au GIP doivent rapidement aboutir à des propositions concrètes à présenter en conseil d’administration ».

Mais le GIP n’est pas seul dans cette barque : l’Anssi ainsi que les ministères de l’Intérieur et de la Justice sont également impliqués. Le SGDSN estime pour sa part que l’Anssi devrait être maître d’œuvre de cet observatoire dont Acyma ne serait que contributeur.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close