Cyberattaques : le Cesin vent debout contre l’indemnisation des rançons

Dans un communiqué de presse, le Club des Experts de la Sécurité de l’Information et du Numérique (Cesin) dit « se mobiliser suite à la proposition d’inscrire un cadre réglementaire sur les conditions d’indemnisation des entreprises cibles d’attaques par ransomware ». Un cadre dont il apparaît estimer qu’il constitue une « incitation au paiement des rançons ».

Le Cesin fait référence au projet de loi visant à conditionner « l’indemnisation [des rançons payées] à l’obligation pour les victimes de déposer une plainte ». Près de 250 membres du club se sont prononcés sur ce projet : 82,43 % des répondants s’y dont dits opposés.

Le communiqué de presse égraine les « questions » soulevées par ce projet : « le risque d’encourager le cybercrime, les pressions que pourraient exercer les assureurs auprès de leurs clients pour payer la rançon si celle-ci s’avère moins élevée que les coûts de remédiation, les risques accrus de récidives pour l’entreprise quand celle-ci a été estampillée “bon payeur” par la communauté des cybercriminels [une idée reçue contredite par les observations, N.D.L.R.], la propagation d’intermédiaires indélicats pour négocier avec les criminels, etc. ».

Le Cesin évoque également les évolutions récentes du marché de l’assurance cyber – hausse des tarifs, baisse des couvertures, ou encore élévation des exigences – qui conduiraient « plus d’une entreprise sur dix » à hésiter à renouveler son contrat.

Le club semble estimer que le problème se concentre sur les PME/PMI. Selon lui, les dirigeants de PME/PMI devraient être sensibilisés « au risque cyber et formé[s] à appliquer des mesures essentielles pour protéger les biens immatériels de [leurs] entreprises ». Dès lors, la cyberassurance ne serait plus qu’un « dispositif complémentaire à ces mesures de sécurité pour ces entreprises et le paiement des rançons ne serait alors plus un sujet ».

Reste qu’au moins soixante membres du Cesin ont été frappés avec un rançongiciel en 2021, selon l’édition 2022 de son baromètre. Et que l’histoire ne dit pas combien ont décidé de payer la rançon demandée. Tout au plus le club indique-t-il que « seuls 50 % des entreprises ayant subi une attaque ont porté plainte », toujours selon ce baromètre.

Justement, le Cesin ne précise pas ce qui motive l’opposition constatée parmi ses membres aux dispositions législatives envisagées, et encore moins dans quel ordre. Serait-ce l’obligation de transparence ? De fait, les membres du club n’y semblent pas nécessairement très enclins.

Nous avons compté 264 victimes françaises de ransomware l’an passé, dont 8 sont membres du Cesin. Soit deux de moins que pour l’édition précédente du sondage, alors que nous n’avions compté que 130 victimes françaises de rançongiciel.