Voilà une mesure qui va animer les débats dans le petit milieu de la cybersécurité. Dans le projet de loi d'orientation et de programmation du ministère de l'Intérieur, présenté en conseil des ministres mercredi, le gouvernement propose d'autoriser l'indemnisation des cyber-rançons par les assureurs, à la seule condition que la victime dépose plainte sous 48 heures. Cette mesure fait suite à un rapport de la direction générale du Trésor sur le développement de l'assurance du risque cyber, résultat d'une consultation lancée à l'été 2021 à la demande de Bruno Le Maire. «Je souhaite que ces orientations soient mises en œuvre le plus rapidement possible», a ainsi déclaré le ministre de l'Économie.
La première version du texte avait déjà déclenché un débat houleux en mars, puisqu'il préconise l'inverse du rapport parlementaire sur la cyber-assurance, remis en octobre 2021 par l'ex-députée LREM Valéria Faure-Muntian. Cette dernière recommandait d'interdire dans la loi de garantir, couvrir ou indemniser les rançons, ainsi que d'y introduire des sanctions contre les victimes qui paient, à l'instar des Etats-Unis.
Les assureurs confortés dans leurs pratiques
« C'est un bon signal. Les assureurs opéraient jusqu'ici dans une zone grise, ils vont désormais être plus à l'aise puisque le gouvernement se positionne sur la légalité de leurs pratiques », évalue auprès de La Tribune Diego Sainz, référent technique cyber du courtier d'assurance Verspieren, en précisant que « la majorité des assureurs indemnisent déjà le montant de la rançon. »
La mise en application du texte reste encore loin : le projet de loi doit encore être discuté au Parlement (à partir d'octobre), puis amendé et voté. Mais dans tous les cas, il devrait mettre fin à une longue période de flou sur le statut du paiement des rançons, qui, bien que unanimement déconseillé par les experts du secteur, reste dans les faits un levier très utilisé par les victimes. En mars, France Assureurs, la fédération professionnelle des assureurs, se félicitait d'ailleurs de la première version du texte, car il permettait une « clarification du cadre légal du remboursement » demandé depuis plusieurs années.
Cette mesure arrive à point : le marché du risque cyber semble enfin trouver une direction, même s'il reste très peu mature, puisque les rançongiciels n'ont été identifiés comme menaces majeures pour les entreprises qu'à la fin des années 2010. « Jusqu'à récemment, les primes collectées ne permettaient pas de répondre aux nouveaux enjeux et montants des sinistres. Avec la recrudescence des rançongiciels et donc des sinistres cyber, les assureurs sont devenus plus sélectifs et plus regardants sur le niveau de sécurité des assurés », remarque Diego Sainz. En 2021, le marché français de l'assurance cyber s'élevait à 219 millions d'euros, selon France Assureurs, avec une augmentation de 52% des cotisations sur l'année.
Mais ce tournant est récent. En 2020 encore, le marché enregistrait des pertes. Et pour cause : le manque de données et l'évolution constante des menaces rendent difficile l'évaluation des prix. De plus, certaines entreprises se montrent frileuses rien qu'à investir dans leur cybersécurité, alors les convaincre d'assurer le risque cyber devient encore plus compliqué. Or, les dégâts d'une cyberattaque réussie se comptent en centaines de milliers voire en millions d'euros, ce qui se traduit par une souscription chère. Résultat : le risque cyber ne pèse que pour 3% des cotisations en assurance dommage des professionnels. « Les entreprises françaises restent aujourd'hui assurées en deçà de leurs besoins réels en cyber, à la fois dans les montants de garantie et dans les périmètres couverts », ajoute Diego Sainz.
Mais entre le cadre législatif qui se durcit (avec NiS 2 notamment) sur les questions de protection des données, et la montée du sujet dans les Comex, le marché a un terrain pour grandir. Pour y parvenir, le rapport de la direction générale du Trésor public recommande le partage d'informations entre assureurs pour compenser le manque de données sur le risque. Le texte demande aussi l'accroissement des efforts de sensibilisation des entreprises, l'augmentation des formations pour les professionnels de l'assurance sur le risque cyber, ainsi que le développement de nouveaux produits assurantiels.
Un contresens par rapport au consensus des experts
Si le texte est accueilli d'un bon œil par les assureurs, ce n'est pas le cas de la plupart des experts de la cybersécurité. Ceux-ci se rangeaient plutôt derrière les propositions de Valéria Faure-Muntian d'interdire le paiement des rançons, qui renforcent les cybercriminels et qui ne règlent pas les problèmes de sécurité des victimes.
Lorsqu'une attaque rançongiciel se déclenche, elle chiffre tous les systèmes informatiques sur son passage, c'est-à-dire qu'elle en transforme leur contenu de sorte à ce qu'il soit illisible et ne fonctionne plus. Dans le meilleur des cas, le logiciel malveillant reste cantonné à une fraction des systèmes d'information de la victime, mais dans le pire scénario, il se répand partout. En conséquence, l'entreprise se retrouve sans email professionnel, sans logiciel de gestion de paie et des factures, ou encore sans portiques de sécurité dans ses bâtiments, entre autres conséquences. Forcée à l'arrêt, elle doit repasser à un fonctionnement manuel, au papier et au crayon (quand c'est possible), le temps de faire revenir les systèmes informatiques à la normale.
Les cyberattaquants font alors miroiter une solution miracle : contre le paiement d'une rançon, ils fourniront une clé de déchiffrement, c'est-à-dire un outil pour défaire les dégâts causés. Les victimes peuvent les contacter afin d'éventuellement négocier le montant de la rançon, mais la facture se comptera le plus souvent en centaine de milliers ou en millions d'euros, à payer en cryptomonnaie pour compliquer la traçabilité de l'opération par les autorités. « La garantie contre la "cyber extorsion" est donc arrivée rapidement sur le marché, et ce n'est qu'après que se sont posées les questions de sa soutenabilité et de son rôle dans le financement des activités cybercriminelles », remarque Diego Sainz.
Problème : l'outil fourni par les malfaiteurs n'est pas toujours bien écrit, et il vient avec son lot de risques. La victime devra donc le faire réécrire par une société spécialisée pour s'assurer qu'il fonctionne correctement et qu'il n'empire pas la situation. Une fois le produit final obtenu, le déchiffrement peut prendre de 6 à 8 heures par machine touchée. Et encore, il s'agit du meilleur des scénarios : parfois, plusieurs rançongiciels sont passés en même temps, ce qui rend le déchiffrement impossible.
Mais la véritable limite de cette solution prétendument miracle, c'est qu'elle rétablit (dans le meilleur des cas) le système à son état juste avant le déclenchement du chiffrement. Autrement dit, elle ne résout pas les défaillances qui ont permis aux cybercriminels d'entrer en premier lieu sur le système informatique, en plus de ne pas se débarrasser de leur présence. Il est ainsi relativement courant qu'un même gang frappe deux fois d'affilée la même victime, à quelques mois d'intervalle. Autrement dit, les victimes devront quoi qu'il en soit reconstruire une partie de leur système d'information. «Payer la rançon est souvent vu comme un joker par les Comex, encore plus quand il y a une assurance. Mais on ne redémarre jamais plus vite en payant la rançon », rappelait dans La Tribune Jérôme Saiz, consultant en protection des entreprises et fondateur de OPFOR Intelligence.
Dernier point, et non pas des moindres : payer la rançon revient à renforcer les capacités des cybercriminels, qui réinjectent une partie de leur butin dans leur propre R&D. Un cercle vicieux se déclenche : plus les victimes paient, plus les cybercriminels deviennent efficaces, plus ils font de victimes, et ainsi de suite. Face à ces constats, les experts s'accordent pour déconseiller systématiquement de payer la rançon... en théorie du moins. La député Valéria Faure-Muntian, écho d'une grande partie d'entre eux, arguait que « le paiement des rançons crée un appel d'air et encourage le crime. »
Ne pas abuser du paiement de la rançon
Mais la solution alternative au paiement, qui consiste à reconstruire le système informatique à partir des sauvegardes, vient aussi avec son lot d'inconvénients : pour commencer, il faut que les sauvegardes soient récentes et qu'elles n'aient pas été endommagées par l'attaque. Ensuite, c'est un processus long et coûteux, qui peut prendre de plusieurs jours à plusieurs mois. Une durée pendant laquelle l'organisation fonctionnera au ralenti, avec un risque élevé de perte d'activité. En février, l'hôpital de Dax expliquait ainsi qu'un an après son attaque, il gardait encore des "stigmates forts" (notamment des logiciels toujours en panne ou défaillants) malgré 2,3 millions d'euros investis pour résoudre la crise. Et il estimait à un montant similaire le manque de recettes liées à sa perte d'activité.
Certains experts invoquent alors un certain pragmatisme. Parfois, payer la rançon s'impose en dernier recours : l'entreprise n'a pas toujours les sauvegardes pour reconstruire son système dans un temps acceptable, et sa survie peut être en jeu. Pour preuve : en août, l'entreprise alsacienne Clestra (fabricant de cloisons et de salles blanches), qui employait 700 personnes, a été placée à sa demande en redressement judiciaire, en grande partie à cause du coup de massue porté par un rançongiciel.
C'est pour éviter ce genre de scénario que les assureurs prennent en charge le paiement de la rançon, avec l'idée de tout faire pour qu'une entreprise couverte contre le risque cyber ne puisse pas mourir d'une cyberattaque. Le rapport rappelle d'ailleurs que le paiement doit rester "une option de dernier recours pour préserver les victimes", et il préconise que les conditions de souscription et de tarification incitent les entreprises à investir dans leur sécurité. Même si l'outil fournit par les cybercriminels s'avère inefficace, tout aura été tenté.
Porter plainte, condition sine qua non
Pour faire passer l'indemnisation des rançons auprès des opposants, le gouvernement l'a conditionné à un dépôt de plainte effectué dans les 48h après le paiement, une proposition dérivée du rapport de Valéria Faure-Muntian. Cette mesure va permettre aux autorités de collecter plus d'informations sur les malfaiteurs afin de nourrir leurs enquêtes.
En début d'année, la gendarmerie précisait à La Tribune que les forces de l'ordre ne recevait que 1 dépôt de plainte toutes les 267 cyberattaques par rançongiciel réussies, alors même qu'elles peuvent apporter un soutien non-négligeable, voire essentiel pour les petites structures, dans la réponse à incident, notamment dans l'identification des méthodes d'attaques utilisé par les malfaiteurs.
Mais si l'intérêt de porter plainte fait consensus, le délai de 48 heures devrait quant à lui faire débat. « Dans ce schéma, l'entreprise se débrouille toute seule pendant 48 heures, l'intervention des autorités est limitée, la scène du cybercrime n'est pas préservée. Il peut y avoir une déperdition d'informations. J'ai l'impression que cet article vise seulement à collecter de la donnée et non pas à résoudre l'enquête », estimait en mars Valéria Faure-Muntian.
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés