Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 216

FOCUS
Assurances
Interdire le remboursement
des rançons
Les parlementaires et Bercy s'interrogent sur un encadrement voire une interdiction
de l'assurabilité ou le paiement d'une rançon suite à une cyberattaque. Une réponse est
attendue d'ici la fin de l'année.
L
Johanna
ors d'une audition au Sénat
sur la cybersécurité des petites
et moyennes entreprises qui
s'est tenue le 14 avril dernier,
Brousse,
vice-procureur
chargée de la section de la cyber criminalité
du parquet de Paris a jeté un pavé
dans la mare. Selon elle, « la France
est l'un des pays les plus attaqués en
matière de rançongiciel parce que nous
payons trop facilement les rançons ».
Elle ajoute qu'il faut « faire comprendre
à chacun que si la rançon est payée,
cela va pénaliser tous les autres, parce
que les pirates vont s'en prendre plus
facilement à notre tissu économique ».
Deux semaines après cette audition,
Axa annonçait qu'il suspendait le
remboursement des rançons. La position
exprimée par Johanna Brousse
n'est pas isolée ; elle fait l'objet d'une
réflexion tant du côté parlementaire
que du gouvernement en vue d'une
éventuelle interdiction du remboursement
d'une rançon dans le cadre d'une
cyberattaque.
Est-ce que la France est particulièrement
encline à payer des rançons ? C'est
ce qu'affirme l'assureur Hiscox suite à
une étude. Néanmoins, un tel constat
reste très difficile à vérifier en l'absence
de chiffres fiables. Selon les études,
les organisations seraient entre 20%
et 60% à payer une rançon. Une chose
est cependant certaine : le phénomène
des ransomewares augmente de
manière exponentielle. Une étude de
l'Anssi montre que 2020 a connu une
augmentation de 225 % de signalements
d'attaques par rançongiciel par
rapport à 2019. Et 2021 suit cette pente
ascensionnelle.
Suite aux auditions au Sénat, Axa a
annoncé début mai la suspension,
pour son contrat d'assurance Cyber
Secure à destination des entreprises
en France uniquement, de l'option
216
introduite en 2020 de remboursement
d'une rançon dans le cadre d'une
attaque par ransomware. L'assureur
déclare que cette mesure sera maintenue
le temps que les conséquences
soient tirées de ces analyses et que le
cadre d'intervention de l'assurance soit
clarifié. Axa attend que les pouvoirs
publics prennent position sur ce sujet
afin de permettre à tous les acteurs du
marché d'harmoniser leurs pratiques.
Les assureurs, quant à eux, restent
très partagés. Ainsi, Hiscox assume
et reste favorable au paiement de la
rançon. De façon très pragmatique,
l'assureur affirme que l'indemnisation
systématique des coûts de reconstitution
des données impliquerait une
explosion du coût de la sinistralité ce
qui les obligerait à réajuster à la hausse
les primes d'assurance. De son côté,
Generali
reste opposé au remboursement
du paiement de la rançon.
Il a créé un produit d'assurance en
2017 mais n'a jamais payé de rançon
et ne veut pas alimenter un système
délinquant. D'aucuns pensent que ce
système est contre-productif puisqu'il
renforce l'activité des hackers et induit
une augmentation des demandes
de
rançon,
activité
complètement
asymétrique pour les entreprises
menacées et très peu risquée pour les
cyberdélinquants.
Si le paiement d'une rançon n'est pas
interdit en droit mais reste fortement
déconseillé par les pouvoirs publics, une
évolution réglementaire de son assurabilité
est souhaitée par les assureurs de
tous bords. À l'Assemblée nationale, la
députée Valeria Faure-Muntian, présidente
du groupe d'études « assurances
» de l'Assemblée nationale a lancé
un cycle d'auditions sur l'assurance
cyber et devrait rendre un rapport en
automne. Dans une interview donnée
à l'Argus de l'assurance, elle explique
EXPERTISES JUIN 2021
que « aujourd'hui, la pratique du
paiement des rançons cyber est dans
une zone grise. Il faut impérativement
clarifier cela de manière légale. On ne
peut pas taper sur les assureurs alors
que le paiement de l'assurance n'est
pas interdit. Il est difficile de faire un
procès en moralité alors que juridiquement
le nécessaire n'a pas été fait. La
pratique existe. Il faut prendre cela en
considération et légiférer. Pour ma part
je suis totalement opposée à ce que le
paiement des rançons perdure ». La
problématique liée au versement de
la rançon a par ailleurs été examinée
par la Commission supérieure du
Numérique et des Postes (CSNP), un
groupe parlementaire ayant pour
mission de contrôler les activités
postales et de communications électroniques,
qui a rendu le 4 avril 2021
un avis au gouvernement sur la sécurité
numérique. Elle recommande un
dispositif de régulation du paiement
des rançons soit pour l'interdire, soit
pour rendre obligatoire, sous le couvert
d'une protection du type « secret des
affaires », la déclaration aux autorités
françaises d'une demande de rançon
et de son traitement. Du côté de l'exécutif,
la direction générale du Trésor
a missionné le Haut comité juridique
de la place financière de Paris (HCJP)
pour étudier la question et aboutir à des
recommandations.
Si le paiement d'une rançon cyber
devait être interdite, cela aurait
comme
conséquences
de
pousser
les entreprises et les organisations à
investir dans la sécurité et la formation
du personnel. 65% des attaques
par rançongiciels proviennent de
phishing. En attendant, rien n'empêchera
des entreprises bloquées de
payer une rançon... à l'étranger.
Sylvie ROZENFELD

Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia

Couverture
SOMMAIRE
Editorial
ASSURANCES : INTERDIRE LE REMBOURSEMENT DES RANÇONS
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - IA : POUR UN DROIT DE RUPTURE
DOCTRINE
DONNÉES PERSONNELLES - « CERTIFICAT VERT NUMÉRIQUE » : LA SANTÉ PUBLIQUE AU PRIX DE NOS DONNÉES ?
DONNÉES PERSONNELLES - LA LOCALISATION DE DONNÉES : UNE SOLUTION MIRACLE ?
DONNÉES PERSONNELLES - QUELLE DURÉE DE CONSERVATION DES MESSAGERIES ÉLECTRONIQUES PROFESSIONNELLES ?
SIGNATUREVÉLECTRONIQUE - LE « FAISCEAU D’INDICES » À L’APPUI DE LA SIGNATURE ÉLECTRONIQUE
LOGICIEL - LA PREUVE DE L’ORIGINALITÉ EN QUESTION
CYBERCRIMINALITÉ - RENFORCER LA LUTTE CONTRE LES CYBERATTAQUES
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - SOMMAIRE
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - Editorial
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - ASSURANCES : INTERDIRE LE REMBOURSEMENT DES RANÇONS
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 218
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 219
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 220
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 221
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 223
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 224
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - IA : POUR UN DROIT DE RUPTURE
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 226
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 227
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 228
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 229
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - « CERTIFICAT VERT NUMÉRIQUE » : LA SANTÉ PUBLIQUE AU PRIX DE NOS DONNÉES ?
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 231
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 232
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 233
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - LA LOCALISATION DE DONNÉES : UNE SOLUTION MIRACLE ?
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 235
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 236
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - QUELLE DURÉE DE CONSERVATION DES MESSAGERIES ÉLECTRONIQUES PROFESSIONNELLES ?
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 238
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - SIGNATUREVÉLECTRONIQUE - LE « FAISCEAU D’INDICES » À L’APPUI DE LA SIGNATURE ÉLECTRONIQUE
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - LOGICIEL - LA PREUVE DE L’ORIGINALITÉ EN QUESTION
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 241
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - CYBERCRIMINALITÉ - RENFORCER LA LUTTE CONTRE LES CYBERATTAQUES
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 243
Expertises des Systèmes d'information - Juin 2021 - N°469 - Le mensuel du droit de l'informatique et du multimédia - 244
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com