Cyber-rançons et assurances

C’est ironique, moqueur, mais malheureusement assez proche de la réalité, celle des milliers d’entreprises qui n’investissent pas et ne sensibilisent pas leurs collaborateurs aux dangers de la cybersécurité. La très, très grande majorité d’entreprises, ce sont des PME voire des TPE. Leurs efforts sur le plan de la protection de leurs systèmes d’information et des données est faible. La CCI Occitanie a révélé que 60% des PME/PMI impactées par les cyberattaques mettaient la clé sous la porte à court terme… Par exemple, cet été, la société Clermont Pièces de Clermont-Ferrand a dû cesser son activité à cause d’une attaque informatique virulente qui a engendré la perte irréversible des données stratégiques de la société (fichiers clients, historique de production, données comptables…).

Certes, les grandes entreprises et les ETI, ainsi que de plus en plus des PME de taille moyenne investissement en cyber mais c’est la partie visible de l’iceberg. On observe, d’ailleurs, la multiplication des attaques en deux temps, d’abord passant par des PME, sous-traitants ou fournisseurs des grandes entreprises, eux mieux protégés.

Et dans ce contexte de sous-investissement et surtout de sous-formation et sensibilisation les attaques de ransomware font des ravages. Une estimation faisait apparaître un taux de paiement de 20% des demandes de paiement en provenance des entreprises françaises. Et c’est souvent la double peine : l’entreprise paie, mais ne retrouve pas ses données.

Le principe d’indemnisation des rançons payées par les entreprises

En ce début du mois de septembre, le ministère de l’Économie vient d’acter le principe d’indemnisation des rançons payées par les entreprises sous réserve qu’elles portent plainte. Ou seulement qu’elles portent plainte….

Comme le rapport de Bercy le soulignait, ‘’la loi constitue un point d’équilibre entre la volonté de ne pas financer l’écosystème des cyberattaquants et la volonté d’éviter la mort des PME et TPE touchées par une attaque.’’

La réalité que beaucoup de monde ignore est que les cyberattaquants ne sont plus des personnes isolées, mais une véritable industrie, structurée et automatisée. Les attaques ne se font plus ‘’à la main’’ sporadiquement, mais suivant une automatisation générale et systématique de toute présence sur Internet ; des scanners traquent, peignent les failles, identifient les nœuds IP vulnérables puis revendent ces cibles à d’autres groupes malveillants qui exploitent, volent et chiffrent les données, et in fine demandent les rançons. Sans se protéger en amont et entretenir régulièrement cette protection l’entreprise sera fatalement victime.

Des efforts d’investissements en cybersécurité et en sensibilisation des employés

Les pouvoirs publics avaient pris position en faveur de l’indemnisation des sinistrés par les assureurs.

Certes porter plainte est une ‘’démarche contraignante’’ (donc filtrante) à franchir par la victime validant de facto le sérieux de l’attaque et les pertes subies, mais pourquoi on ne demande pas aux entreprises de prouver leurs investissements amont en outils et formation de leurs collaborateurs ? On indemnise ceux qui agissent préventivement en amont au même niveau que ceux qui négligent les mesures de base.

La prise en charge par les assurances des sinistres subis et du remboursement des rançons, sans demander en échange à leurs clients des efforts d’investissements en cybersécurité et en sensibilisation des employés est aux yeux des professionnels de ce domaine un chaînon manquant dans la réponse aux dangers de la cybersécurité.

Article publié dans Smart DSI N° 27