Bercy a dévoilé le mois dernier un rapport sur « le développement de l'assurance du risque cyber ». Un sujet dont les députés ont commencé à débattre à l'occasion de l'analyse d'un projet de loi. Provenant du Trésor, le fichier avance quelques idées visant l'indemnisation des rançons payées lors d'une cyberattaque.
La direction générale du Trésor (DGT) a publié le 7 septembre dernier un rapport autour de l' assurance du risque cyber. Ce document renferme des propositions auxquelles les travailleurs indépendants dans le secteur de l' IT , entre autres, devraient prêter attention.
Remarque : Ces experts peuvent trouver des missions freelance de différentes manières. L'on citera par exemple la consultation de plateformes Internet spécialisées ou la prospection directe auprès d'une société.
Parmi les recommandations susmentionnées figure la subordination du dédommagement d'une assurance cyber-rançons au dépôt de plainte par l'intéressé . Une proposition qui a excédé le patron de l'ANSSI (Agence nationale de la sécurité des systèmes d'information), Guillaume Poupard.
Un projet de loi est en préparation
Le dirigeant a montré sa contrariété à travers un commentaire sur LinkedIn le 7 septembre dernier. Il a concrètement réagi à une publication liée au rapport de la DGT avec un mème. Ce dernier affichait un chat appuyant sa tête contre un mur.
Un Conseil des ministres a été organisé à la même date. Le projet de loi d'orientation et de programmation du ministère de l'Intérieur (LOPMI) y a alors été dévoilé. L'on y trouve les points importants d'un autre texte, présenté en mars dernier, mais dont l'analyse a été reportée . La cause étant l'approche des élections législatives. L'article 4 de cette législation reprend la préconisation du rapport de la DGT.
Le secrétaire général du Club de la sécurité de l'information français, Loïc Guézo, s'est exprimé sur le sujet. Selon lui, la formulation dans la version originale du texte était une erreur. Il a confié à Siècle Digital qu'elle s'oppose à la doctrine officielle consistant à ne jamais céder aux chantages . Le vocable de rançon a toutefois déjà été remplacé par la mention :
Tout dommage causé par une atteinte à un système de traitement automatisé de données.
L'assurabilité des risques cyber est déterminante pour l'économie
En réalité, la loi en France n'interdit pas aux assureurs d'indemniser le règlement d'une rançon après une attaque par ransomware. Les acteurs de la sécurité IT ont cependant craint qu'en l'autorisant expressément, l'Exécutif aggrave la situation. Un expert estime que la reformulation d?alors :
Pouvait devenir très vite un encouragement au crime.
Le risque cyber, surtout les piratages, touche toutes les sphères de l'économie, particulièrement la filière de la santé. Il est intensifié par le travail à distance, la pandémie de Covid-19 et la dépendance au digital.
Bercy révèle que 3 % seulement des cotisations en assurance dommage des travailleurs sont payées au titre du risque cyber . Cette infime partie découle de la difficulté à comprendre en même temps :
- Ce dernier pour les sociétés, notamment les plus petites ;
- Ses effets pour les compagnies d'assurance, essentiellement durant les incidents d'envergure importante.
Cependant, l'indemnisation de ce risque représente un élément primordial de l'amélioration de la résilience du tissu économique français, selon l'Exécutif . Le ministre de l'Économie a donc missionné la DGT en juin 2021 pour constituer un groupe de réflexion. Ceci pour travailler sur la création d'une offre d'assurance de prise en charge des risques cyber. Cette équipe rassemble des experts de l'univers académique, des compagnies assurantielles et de réassurance, des entreprises.
Dans ce contexte, l'Assemblée nationale a commencé l'examen du LOPMI le 14 novembre 2022. Son adoption pourrait intervenir d'ici peu .