Le Sénat a validé la semaine dernière un texte qui permettra aux entreprises victimes de cyberattaques d’être remboursées après le versement d’une rançon. Mais pour cela, une réclamation doit être déposée dans les 24 heures et avant tout paiement.

Hausse des cyberattaques depuis l’apparition du Covid-19

Mercredi 12 octobre, le Sénat a adopté le projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) qui doit fixer la trajectoire budgétaire pour les cinq prochaines années. La chambre haute a ainsi validé l’article 4 sur l’indemnisation des rançons versées en cas d’attaque informatique.

Ce texte vise à lutter contre la cybercriminalité, qui ne cesse de croître depuis le début de la pandémie. En mars 2022, l’Agence nationale de la sécurité des systèmes d’information (Anssi) faisait état de 1 082 intrusions avérées dans les systèmes d’information en 2021. Une augmentation de 37 % par rapport à 2020 (786 cas). Ce chiffre pourrait être plus élevé car de nombreuses attaques ne sont pas déclarées par les entreprises victimes.

Une pré-plainte à déposer dans les 24H

Si l’article 4 soutenait initialement qu’une entreprise devait porter plainte au plus tard 48 heures après le versement de la rançon pour bénéficier du remboursement par son assurance, les amendements apportés par les sénateurs fixent désormais 24 heures pour y avoir droit.

Aussi, il s’agit désormais d’une pré-plainte déposée avant tout paiement. Selon le ministre de l’Intérieur Gérald Darmanin, ces dispositions sont destinées à aller plus vite en cas de ransomware et ainsi réduire le nombre de rançons versées. « On ne peut assurer les entreprises que si elles portent plainte », plaide-t-il.

À Lire  Pourquoi l'assurance qualité web est-elle essentielle pour les entreprises ?

Un signal fort aux assureurs mais aussi aux pirates

En France, certains assureurs ont déjà proposé par le passé une garantie de remboursement plafonnée pour le paiement d’une rançon après une attaque par ransomware. C’est le cas d’Axa. Mais le groupe français a suspendu son offre « ransomware » dans l’attente d’une réglementation claire et précise sur le sujet.

L’article 4 envoie donc un signal fort aux assureurs, mais pas seulement à eux. En effet, cela pourrait aussi inciter les hackers à être plus audacieux. Ces hackers seront tentés de profiter de la nouvelle législation pour multiplier les intrusions et surtout faire monter les enchères. Ils copieront également certainement les données (au lieu de les effacer) pour un chantage supplémentaire.

En opposition avec l’avis de l’ANSSI

On pense ainsi que l’article 4 serait une sorte de laissez-passer pour la cybercriminalité et la récidive. « Le payer ne garantit pas l’obtention d’un moyen de décryptage, encourage les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux », souligne un rapport d’information du Sénat publié en juin 2021.

De plus, une ambiguïté subsiste par rapport à la position de l’ANSSI. En août 2020, l’agence conseillait de « ne jamais payer la rançon ». Mais Gérald Darmanin assure que le remboursement par les assurances reste « la moins mauvaise des solutions ». Aussi, cette disposition permettra au moins de connaître le nombre exact d’attaques informatiques impliquant une rançon.