Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
Le blog politique de Thomas JOLY

À qui profite le cybercrime ?

26 Septembre 2022, 06:48am

Publié par Thomas Joly

Le ministère de l’Économie et des Finances et de la Souveraineté industrielle et numérique, par un rapport émanant de la direction générale du Trésor, propose de légiférer sur l’indemnisation des victimes des rançongiciels. Ces cyberattaques menacent ou forcent à couper les systèmes d’information, paralysant ainsi des actes de gestion et commerciaux. Ce projet de loi d’orientation permettrait, à la suite d’un dépôt de plainte, d’obtenir une indemnisation actant le principe que les assureurs couvrent l’impact financier de tels événements.

Si, à court terme, le problème est résolu ou amoindri, à moyen terme et éthiquement, le fait de payer les rançons confortera et musclera, logiquement, les attaquants qui deviennent ainsi plus puissants et agissants, y compris sur nos PME...

Mais comment ne pas payer de rançon, car même une indemnité ne saurait reconstituer les pertes de données et de paramétrage logiciel ? C’est le sens de l’intervention du directeur de l’Agence nationale de la sécurité des systèmes d'information (ANSSI) qui n’incite pas les assureurs à soutenir la voie de la négociation mais à promouvoir une démarche vertueuse de prévention, de résilience des sociétés dans la sauvegarde de leur système d’information pour réinstallation rapide, sans pertes, afin de mettre en échec dans l'œuf les cybercriminels. Cette tâche est, néanmoins, ardue et coûteuse pour l’ensemble des acteurs.

Le rapport précise aussi, ou rappelle, que l’exécutif souhaite une « inassurabilité » des sanctions et amendes liées au défaut du respect du RGPD (Règlement général de la protection des données de l’Union européenne, actif depuis 2018).

Aujourd’hui souvent désarmés devant des montants faramineux, les grandes sociétés ou administrations, vis-à-vis de ces rançons, les traitent souvent par des spécialistes des tractations avec le grand banditisme et à coups de bluff. Les sociétés de petite taille se trouvent peu accompagnées et seules à arbitrer la réaction à adopter vis-à-vis de ces attaques paralysantes. Les victimes, pour raison de notoriété, sont tentées de maintenir le secret sur ces actes malveillants, sauf si le vol de données est avéré, ce qui force à une déclaration au sens du RGPD ou que l’offre de service public est rompue avec des clients ou des patients comme le récent cas de l’hôpital de Corbeil-Essonnes.

Rappelons aussi que payer la rançon n’est pas une garantie pour se libérer de l’attaque ou de l’escalade des exigences criminelles…

En automatisant le traitement de ces attaques, on peut se demander à qui profite le crime ? Aux attaquants, certainement, qui toucheront dans ce cas une rançon, et aux assureurs proposant un nouveau poste de charges plus onéreux aux organisations clientes. Ces polices d’assurance contiendront même des obligations de protection logicielle comme nos contrats privés nous obligent, particuliers, à avoir des serrures trois points, ou autres protections, sur nos portes de domicile.

Comme la majeure partie des logiciels sont américains, ainsi que les infrastructures d’hébergement, c’est donc, encore une fois, créer une nouvelle source de revenus pour des sociétés transatlantiques, puisque nous n’avons toujours pas de géants du Web purement européens ou, mieux, français. Nos sociétés françaises sont donc globalement perdantes, par défaut, avec ces nouveaux services d’assurance et de protections logicielles créant des vaches à lait pour les offreurs de services étrangers.

Quelle aubaine pour développer un marché qui échappe souvent à nos assureurs et éditeurs de logiciels français !

Lionel Mazurié

Source : http://bvoltaire.fr

Commenter cet article