Cybersécurité : une députée appelle l’État à élargir l’aide aux collectivités
Dans un rapport sur la cyber-assurance, la députée Valéria Faure-Muntian invite les pouvoirs publics à aider davantage les petites organisations, cibles privilégiées des cybercriminels. Elle propose notamment que les subventions aux collectivités ne transitent plus par l’Anssi et appelle à l’émergence d’une offre d’assurance cyber adaptée. Celle-ci exclurait cependant le paiement des rançons.
Pour la députée de la Loire Valéria Faure-Muntian (LREM), l’épidémie actuelle de cyberattaques, multipliées par 4 entre 2019 et 2020, en hausse de 60% depuis janvier 2021 d’après l’Anssi, est directement imputable à la "dématérialisation à marche forcée de ces deux dernières décennies". La généralisation du télétravail au printemps 2020 du fait de la crise sanitaire n’a ensuite rien n’arrangé. "L’une des conséquences de ce processus a été de minorer pour partie les investissements en termes de cybersécurité, que cela soit sur le plan de la sensibilisation des collaborateurs, de la mise en place de systèmes de cybersécurité dans les systèmes d’information ou de la couverture assurantielle des risques cyber" relève-t-elle dans un rapport porté par le groupe d’études assurances de l’Assemblée nationale.
Verser les aides cyber directement aux collectivités
Les premières victimes des cyber-attaques sont les TPE, PME et les collectivités territoriales. Leurs investissements de cybersécurité sont aujourd’hui trop souvent réalisés après les attaques, avec des organisations très démunies, qui "ne savent pas toujours par où commencer". Concernant les collectivités, la députée invite l’État à infléchir sa stratégie. Aujourd’hui, l’essentiel des moyens passe par l’Anssi chargée par l’État d’accompagner les collectivités dans le cadre de parcours cyber (notre article du 11 juin). Cette aide est cependant conditionnée par le fait de posséder un responsable de la sécurité des systèmes d’information (RSSI). La députée propose d’attribuer les subventions directement aux collectivités pour leur permettre de réaliser un audit de cybersécurité et de s’outiller. Avec à la clef un coup de pouce aux solutions cyber "souveraines" portées par des fleurons tricolores.
Mieux assurer le risque cyber
Elle suggère aussi d’imposer aux entreprises qui travaillent avec l’État, des opérateurs d’importance vitale (OIV) ou de services essentiels (OSE) - soumis à des normes élevées de cybersécurité et placées sous le contrôle de l’Anssi dans le cas des OSE - de se doter d’une police d’assurance cyber. Des cyber-polices qui couvriraient à peine 1% des collectivités territoriales, 8% des ETI alors que 87% des grands groupes en sont dotés selon une étude de l’association pour le management des risques et des assurances de l’entreprise (Amrae). Un déséquilibre qui amène la députée à demander la création d’une nouvelle branche d’assurance dédiée à la cyber-assurance, à même de concevoir une offre adaptée aux besoins des TPE, PME et collectivités.
Renforcer les moyens du GIP Acyma
Le préalable à ces offres est cependant d’acculturer massivement les petites organisations aux cyber-risques, pour accroitre leur assurabilité. Dans cette optique, la députée invite à renforcer les moyens matériels, financiers et humains du GIP Acyma / Cybermalveillance chargé de l’information et de l’accompagnement du grand public, des TPE comme des "petites" collectivités. Un accroissement de moyens indispensable pour permettre au GIP de mener à bien de nouveaux chantiers, notamment la création d’un observatoire national des risques numériques prévu dans le cadre du "campus cyber" ainsi qu'un label "ville cyber responsable" dont le lancement est prévu début 2022 (voir encadré). Le GIP se verrait également chargé d’assurer la remontée "anonyme" des incidents cyber.
65% des entreprises paient la rançon
Concernant les rançongiciels, le rapport note qu’il y a eu un report des cyberattaques des États-Unis vers l’Europe et notamment la France, "l’un des pays qui paye le plus au monde les demandes de rançons". De fait, un assureur interrogé par la délégation parlementaire évalue à 65% (!) la part des sinistrés ayant payé une rançon. Un chiffre, à rapprocher des 14% d’entreprises victimes de rançongiciels, qui donne une idée du "marché" français du rançongiciel. En pratique, ces rançons sont payées soit directement par les entreprises, soit par les assureurs quand la police d’assurance ne l’interdit pas. Une situation déplorée par la députée qui demande "d’inscrire dans la loi l’interdiction pour les assureurs de garantir, couvrir ou d’indemniser la rançon" tout en améliorant la couverture des conséquences des cyberattaques. Quant au paiement direct de la rançon par les victimes, sujet beaucoup plus controversé car il en va parfois de la survie de l’entreprise, la députée souligne que "le paiement des rançons alimente la cybercriminalité et rien ne garantit que la rançon payée soit un gage de retour à la situation initiale".
Définir juridiquement les cyber-risques et cyberattaques
Convaincue de l’importance de la contribution des assureurs pour préparer entreprises et administrations aux cyberattaques, la députée mesure cependant l’importance du chemin à parcourir de part et d’autre. Du coté des organisations, l’adoption des règles d’hygiène informatique de base et la formation des personnels sont un préalable à leur assurabilité. Du coté des assurances, un changement culturel est également nécessaire, car elles sont encore trop nombreuses à refuser de prendre en charge les dommages liés à une cyberattaque. Aussi un des chantiers prioritaires poussé par la députée est du reste d’énoncer une définition juridique du cyber-risque et des cyber-attaques, préalable à leur assurabilité.
La création d’un label "ville cyber responsable" a été annoncé aux Assises de la cybersécurité organisées du 13 au 16 octobre 2021 à Monaco. Porté par le GIP Acyma, le pôle ComCyberGend de la Gendarmerie nationale et l’Alliance pour la confiance numérique (ACN), ce label récompensera les efforts des collectivités en matière de cybersécurité. Pour être labellisées, les collectivités devront avoir établi un diagnostic de cybersécurité tel que celui proposé par le GIP Acyma et l’AMF avec le questionnaire "Immunité cyber". Elles devront aussi avoir désigné un référent cyber autre que le maire ou le DSI et avoir défini un plan d’action et de sensibilisation. |