Le Sénat vient d’adopter l’article 4 du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) : permettre aux entreprises de se faire rembourser, par leur assurance, une rançon payée à des pirates !

Ransomwares, piratage de sites web, attaques DDoS, … les actes de malveillance envers les entreprises sont légion. 43% des PME ont constaté un incident de cybersécurité en 2020. 16% de ces attaques ont menacé la survie de l’entreprise. En juin 2021, le Sénat, via Sébastien MEURANT et Rémi CARDON, au nom de la délégation des entreprises, a publié un rapport sur « La cybersécurité des entreprises – Prévenir et guérir : quels remèdes contre les cybervirus ? Une première pierre dans cette tentative de nouveau mur anti-piratage à la française.

Dans cet écrit, les sénateurs ont fait écho aux propos de l’assureur Allianz « Ce [cyber] risque a été classé en tête des risques commerciaux identifiés pour 2020. » Le rapport indique : « Les numéros de cybersécurité doivent être pris avec prudence car toutes les entreprises ne signalent pas aux autorités judiciaires les dommages qu’elles ont subis. »

Le 7 septembre 2022, la direction générale du Trésor français a validé l’idée de l’assurabilité des cyber renflouements. La direction a été assistée dans son étude par le Haut Comité Juridique de la Place Financière de Paris.

Que dit cet article 4 ?

Une entreprise prise en otage, et qui paiera cette cyberattaque (infiltration, exfiltration, menace de diffusion, diffusion d’extraits), pourra demander à sa compagnie d’assurance de payer la rançon. Mais attention, plusieurs critères seront pris en compte : l’entreprise souscrira une cyber assurance (ce qui devrait déjà être fait) ; mettre toutes les sécurités possibles pour éviter les secours (équipes, matériel, cyber veille zataz 😉) ; déposer une réclamation dans les 24 heures suivant l’attaque (plus dans les 48 heures comme spécifié dans le premier projet de A4). Le ministre de l’Intérieur, Gérald Darmanin, indique : « On ne peut retenir les entreprises que si elles portent plainte », informe le Sénat public.

Les compagnies d’assurance proposent depuis des années des produits qui couvrent les cyber-risques. Les garanties permettent le remboursement d’une rançon (plafond et paiement déductible). Les assureurs préfèrent rembourser 400 000 € de rançon, plutôt que de payer la remise en état du système affecté (récupération de données, etc.). En France, Axa a suspendu son offre de « ransomware » dans l’attente d’une réglementation claire et précise en la matière. Cette harmonisation sénatoriale envoie un signal fort aux assureurs. Même ceux qui refusaient ce type de « produit », comme Generali.

La Fédération française des assurances (FFA) indiquait il y a un an que le versement de rançons ne constituait pas une infraction. Cette rançon ne doit donc pas être utilisée dans le cadre du financement du terrorisme ou du blanchiment d’argent (article L.324-1 et L.421-2-2 du Code pénal). Une petite question de votre part : nous n’arrêtons pas d’entendre que, par exemple, LockBit 3.0 est russe. Ainsi, l’argent de LockBit 3.0 peut être utilisé pour l’effort de guerre de Poutine. Action illégale, sanctionnée par l’Europe et les Etats-Unis. Par conséquent, payer pour Lockbit 3.0 est illégal !

Le rapport d’information du Sénat de 2021 rappelait que l’ANSSI (Agence nationale de la sécurité des systèmes d’information) conseillait de « ne jamais payer la rançon du système […]. ZATAZ ne cesse de vous montrer que des données sont mises à disposition par des pirates. Dans certains cas, avant même que les entreprises ne soient au courant « Nous ne changeons pas la doctrine », assure le ministère de l’Intérieur. Bien sûr, vous n’avez pas à payer les rançons. Mais une assurance existe pour payer une rançon. »

Bref, les sénateurs ont validé le 1er Bug Bounty malveillant officialisé par un gouvernement. Elle permettra, si les députés votent à tour de rôle, aux pirates de la planète de s’installer en France. Un fait avéré, comme je l’ai vu démontré, début septembre.

Cet article 4 permettra aux entreprises de balayer le fait qu’elles se sont fait voler des milliers, voire des centaines de milliers de données personnelles. On ne sait pas, par exemple, combien d’entreprises impactées par des ransomwares, avec des fuites de données d’Européens, des Français, ont alerté la CNIL des pays en question. Prenons un exemple. Au Canada, plusieurs écoles ont été touchées. Les données des étudiants français ont été exfiltrées puis diffusées par des hackers ! As-tu entendu parler de cela?

À Lire  Comment choisir une assurance moto ?

Si une demande de rançon était faite par des pirates, des données étaient volées ! Qu’en est-il des demandes de rançon pour arrêter un DDoS contre les serveurs d’une entreprise ? Bref, les hackers jouent sur la réputation des entreprises attaquées ! Restez tranquille et tout ira bien ! Sérieusement ?

Les primes d’assurances vont « exploser » ?

Du côté positif, nos autorités pourraient enfin disposer de chiffres plus complets sur le nombre d’attaques ayant donné lieu au paiement d’une rançon. Espérons que dans la plainte, la preuve des données exfiltrées ayant conduit au paiement d’une rançon sera imposée. La plainte imposera une alerte au public concerné par la fuite : salariés, clients, usagers, patients, partenaires. Le Centre hospitalier de Corbeil-Essonnes a alerté 700 000 personnes ces derniers jours. Ils sont potentiellement entre les mains de pirates !

En septembre 2022, ZATAZ a détecté 255 cyberattaques de rançongiciels qui se sont soldées par une demande de rançon. 42 entreprises payées !

Le 14 octobre 2022, comme je l’ai montré sur Twitch, dans l’émission ZATAZ, chaque soir à 19h00, 182 cyberattaques ont été détectées par le ZATAZ Watch Service. 12 semblent avoir été payés : les menaces ont disparu de Telegram, Onion, d’autres lieux piratés.

Selon le FBI, la demande de rançon moyenne de groupes tels que NetWalker était de 481 000 $. Le paiement moyen après les négociations était d’environ 196 000 $. Certaines victimes canadiennes ont payé jusqu’à trois millions de dollars américains. Rencontrez l’audience vidéo du hacker québécois, membre du groupe Netwalker, Sébastien Vachon-Desjardins, arrêté en 2021 et condamné début octobre à plus de 20 ans de prison fédérale aux États-Unis.

Il explique comment son équipe a réussi à infiltrer un réseau en 6/8 heures ; serveurs vides en 2/3 heures ; lancer la cyberattaque après des jours d’attente ; cyberattaques exécutées entre 23h et 6h du matin. Ici, Radio Canada revient sur son histoire, qui lui aurait rapporté des centaines de milliers de dollars.

Aux États-Unis, l’OFAC (Office of Foreign Assets Control) a indiqué qu’il envisageait une éventuelle sanction à l’encontre des entreprises participant au paiement de rançons résultant d’une menace de ransomware. A l’époque, c’était en octobre 2021, l’OFAC exposait d’éventuelles sanctions contre les entreprises publiques et privées qui avaient payé la rançon, ainsi que les entreprises qui avaient permis le paiement (cybersécurité, négociateurs, etc.), comme les assurances. Un acteur qui pourrait être tenu civilement responsable.

La proposition française devrait motiver d’autres pays, comme le Canada. Par exemple, il n’y a pas de loi chez les cousins ​​du Grand Nord qui régit le paiement des rançons. Depuis le 22 septembre 2022, la Commission d’accès à l’information du Québec (La CNIL locale) a mis en place la loi 25. Elle oblige les entreprises publiques et privées à déclarer toute fuite de données personnelles. La motivation surgira-t-elle, par le biais du remboursement ? Je parierais mon poids sur la poutine! D’autant que cette loi permettra d’harmoniser la question en Europe, puis dans d’autres lieux, comme les USA. Le projet d’adoption d’un règlement européen en la matière ou d’un amendement à la Convention de Budapest de 2001 permettra son application, également, aux Etats-Unis. Une réponse courante à la cybercriminalité via un Bug Bounty officiel malveillant !

Des questions se posent !

Si l’idée de permettre aux autorités (Judiciaire, information, CNIL, ANSSI, etc.) Qui va payer ? Un intermédiaire ? L’entreprise? Jusqu’à quel montant ? L’entreprise pourra-t-elle convoquer des négociateurs qui peuvent être payés pour travailler avec des pirates ? Qui contrôlera vos négociateurs ? Quand vous expliquez aux hackers que les entreprises peuvent désormais être remboursées, pensez-vous vraiment qu’ils n’augmenteront pas les « frais » de prise d’otages ? Pensez-vous vraiment que les pirates supprimeront les fichiers ? oublie? pas revenir? Une plainte en 24h, et les cyberattaques lancées samedi ?

Bref, nous verrons dans un avenir proche si cet article 4 sera bénéfique pour les citoyens et les entreprises !