Le rapport Faure-Muntian préconise d’interdire aux assureurs d’indemniser les rançons

• Print
• Twitter
• Linkedin

La députée LREM Valéria Faure-Muntian a présenté mercredi dernier un rapport recommandant d’interdire les garanties, couvertures ou indemnisations en cas d’attaque par rançongiciel. En tant que co-présidente du groupe d’études Assurances de l’Assemblée nationale, elle y argue que « le paiement des rançons alimente la cybercriminalité » et que « rien ne garantit que la rançon payée soit un gage de retour à la situation initiale ».

En avril dernier, lors d’une table-ronde sur la cybersécurité au Sénat, la vice-procureur et chef de la section J3 de Lutte contre la cybercriminalité, Johanna Brousse, affirmait déjà qu’il fallait durcir le ton face au paiement des rançons : « Aujourd’hui, la France est l’un des pays les plus attaqués […] parce que […] les assureurs garantissent le paiement des rançons ». Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes informatiques (Anssi), appuyait ce propos en évoquant le « jeu trouble de certains assureurs ».

De leurs côtés, les assureurs demandaient clarification. « Il est primordial que les pouvoirs publics concrétisent leur position sur ce sujet afin de permettre à tous les acteurs du marché d’harmoniser leurs pratiques », déclarait Axa en mai dernier après avoir suspendu sa garantie de remboursement de rançon en attendant que le cadre d’intervention soit clarifié.

Notons que le rapport parlementaire ne s’oppose pas à la couverture des amendes administratives mais recommande qu’un dépôt de plainte soit effectué auprès des services compétents au préalable.

Le rapport propose aussi de renforcer les moyens matériels, financiers et humains du dispositif français de lutte contre la cybercriminalité qui « manque de lisibilité dans la cohérence d’ensemble ». Il met l’emphase sur la prévention et l’éducation au risque cyber et donne des pistes d’amélioration des offres du marché, parmi lesquelles la formation de réseaux de distribution dans l’Hexagone, la création d’un mécanisme d’évaluation des offres, l’harmonisation des critères d’analyse des cyber-risques et la mise en avant de solutions hybrides de cybersécurité et de cyber-assurance pour les PME et les collectivités.

Pour lire les 20 propositions du rapport, c’est ici.