Archives pour la catégorie cyberisque-cybersécurité

RISQUES ET GESTION DES RISQUES INDISPENSABLES DANS LES COLLECTIVITES TERRITORIALES. ILLUSTRATION SUR LE CYBERRISQUE.

Je commence par vous souhaiter à tous, lecteurs de mon blog, partenaires LinkedIn, partenaires de partenaires…une excellente année 2023. J’espère qu’elle sera marquée par des projets qui vous motivent, des décisions qui vous ressemblent et l’énergie pour agir.

J’ai terminé 2002 avec les collectivités territoriales. Je débute 2023 avec une illustration de l’importance stratégique des risques et de la gestion des risques dans les collectivités territoriales.

Les publications des semaines à venir seront relatives au RGPD à travers une thématique intitulée : LE RGPD QUOI DE NEUF ?

Il est essentiel que les collectivités territoriales se forment aux risques et à leur gestion.

🏆 J’ai partagé avec des élus des collectivités territoriales mes connaissances dans les domaines des RISQUES – GESTION des RISQUES

🗼 Dans le cadre d’une formation d’une journée intitulée « La gestion des risques : prévenir pour agir »

🗼 Organisée le 23 novembre 2022, dans le cadre du Congrès des Maires

🗼 Ses objectifs étaient de montrer aux élus comment catégoriser et caractériser les risques et mettre en place une démarche de gestion des risques (étapes, outils)

🏆 Les élus de Martinique auxquels je m’adressais se sont montrés très intéressés ; ils sont concernés par les risques et leur gestion car :

🗼confrontés aux risques dans leur quotidien ;

🗼placés en première ligne par le régulateur-législateur (voir « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. », CH I Définition des notions mobilisées et contextualisation de la Fonction Risk Manager, Amplificateur de risque 1 : le régulateur, législateur, p. 53-65.

https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Les collectivités territoriales sont confrontées à toute une « palette de risques » et y sont souvent peu préparées. Je l’ai notamment illustré à travers le cyber risque.

🏆 Pour aller plus loin sur ce thème, je vous propose de :

🗼 relire sur ce blog un article intéressant de cyberattaques contre trois municipalités. On y retrouve les éléments d’identification d’un risque : description de celui-ci, causes, impact. Et quelques Plans d’Actions ;

🗼 de lire ci-dessous un court article écrit dans « The Conversation » et qui alerte une nouvelle fois écrit l’auteur « sur les dangers cyber contre les collectivités territoriale….Espérons que l’on finisse enfin par réaliser – au-delà des ransomwares actuels qui sont déjà fort préoccupants – l’ensemble des enjeux liés à une bonne sécurisation de leurs SI et l’impact qu’auraient des cyberattaques ciblant ces derniers en termes politiques, économiques et sociétaux. Sachant que le conflit actuel en Ukraine tend à rappeler clairement l’importance d’une bonne résilience des CT ainsi que leur rôle majeur en matière de D.O.T…. »

Cyberattaques contre les collectivités territoriales : le pire est-il à venir ?

Depuis le début de la crise du Covid-19 et notamment durant la période de confinement, on assiste à une augmentation sans précédent des cyberattaques touchant les collectivités territoriales françaises (régions, départements, communes, communautés de communes, etc.). Toutefois, ces dernières sont souvent occultées par celles qui affectent les établissements de santé du fait de leurs conséquences potentiellement dramatiques, à l’image de l’attaque qui a touché, début décembre, le centre hospitalier de Versailles, au Chesnay-Rocquencourt (Yvelines).

Nos travaux sur la vulnérabilité des collectivités territoriales françaises face aux cyberattaques ont notamment été sanctionnés par la première (et seule à ce jour) thèse en sciences de gestion soutenue dès 2012 et donné lieu à plusieurs articles scientifiques ultérieurs. Ces travaux furent l’occasion d’appeler à la mise en place d’une politique publique nationale d’accompagnement des collectivités territoriales relativement à la nécessaire sécurisation de leurs systèmes d’information (SI), malheureusement sans grand succès.

Si nous aurions préféré avoir tort quant aux évolutions envisagées, force est de constater que le sujet est finalement apparu sur l’agenda médiatique depuis la crise du Covid pour ne plus la quitter depuis lors. Eu égard à la structuration territoriale française (45 205 collectivités locales en 2022), ces dernières revêtent une importance prépondérante, autant pour leur proximité directe avec les citoyens qu’en termes de services rendus. C’est vraisemblablement ce constat qui a amené de plus en plus de groupes de hackers à les choisir pour cibles.

Les cyberattaques menées demeurent pour le moment essentiellement liées à l’envoi de ransomwares (logiciels malveillants se diffusant à l’intérieur d’un système d’information et chiffrant l’ensemble des données accessibles) et visent un objectif exclusivement pécuniaire au travers de la demande d’une rançon dont le paiement préalable conditionne l’envoi (ou pas) d’un code de déchiffrement. Ce type d’offensive s’avère effectivement d’une efficacité redoutable en cas de sauvegarde non redondante.

Triple défi numérique

Appelant de nos vœux une véritable prise de conscience des enjeux liés à une mauvaise sécurité des SI, il nous semble impératif d’alerter sur d’autres types d’atteintes aux données des collectivités, d’autant plus dangereux selon nous qu’ils s’avèrent potentiellement cumulatifs.

À trop se focaliser sur les rançongiciels touchant leurs serveurs, on en vient à oublier que les collectivités territoriales se situant intrinsèquement à l’intersection de trois univers (politique, économique et sociétal), celles-ci relèvent quotidiennement trois défis numériques majeurs : l’administration électronique, l’e-démocratie et la dématérialisation des appels d’offres.

 Dépassant largement la mise à disposition des administrés de nouveaux moyens de communication, l’administration électronique, régulièrement plébiscitée par les Français depuis plusieurs années, est devenue un outil stratégique de service public. Et cet état de fait devint encore plus évident durant la période de confinement relative au Covid-19 : il est aisé d’imaginer l’impact politique et social qu’auraient engendré des cyberattaques privant des citoyens d’un moyen d’interaction devenu d’autant plus essentiel qu’ils se trouvaient dans l’incapacité de se déplacer pour effectuer la moindre démarche administrative. Il convient par conséquent de sécuriser les SI afférents afin d’assurer une continuité de service public en cas de crise majeure.

Le même problème se pose en ce qui concerne l’e-démocratie. Nous avons récemment mis en évidence l’existence d’une typologie des interactions entre la collectivité et ses administrés selon le support numérique utilisé : interaction forte (échanges directs entre les citoyens et les exécutifs territoriaux), modérée (enquête en ligne ou dialogue sur les réseaux sociaux) ou faible (remontée d’informations ponctuelles à l’initiative des administrés).

Le degré de gravité d’une cyberattaque touchant les SI d’e-démocratie sera donc directement corrélé au vecteur numérique : pertes ou vols potentiels d’informations à caractère personnel dans les deux premières hypothèses et perte de confiance dans tous les cas. Ici encore se pose la question de l’impact de telles attaques contre des outils précisément mis en place pour tenter de favoriser une meilleure participation à la vie publique de citoyens de plus en plus méfiants vis-à-vis des institutions démocratiques.

À cela s’ajoute enfin la possibilité que les SI dédiés aux appels d’offres des collectivités puissent également être ciblés. Que ce soit en termes de fonctionnement ou d’investissement une collectivité, à l’image de la grande majorité des organisations, se trouve dans l’obligation de faire appel à des prestataires extérieurs.

La dématérialisation de ces procédures fut précisément menée pour permettre une meilleure fluidité dans la gestion des appels d’offres, ainsi que dans le souci de permettre de simplifier les procédures afin de permettre à des petites et moyennes entreprises (PME) de répondre à ceux-ci avec une chance raisonnable de succès. Une offensive numérique visant les échanges entre les soumissionnaires et la collectivité s’avérerait également lourde de conséquences, non seulement en matière économique mais également en termes de crédibilité intrinsèque.

Acteurs de la défense

Face à l’ensemble des défis précités, on peut espérer que le volet dédié au financement numérique des collectivités territoriales du plan gouvernemental « France Relance » permettra d’améliorer sensiblement la sécurisation des SI territoriaux. Pour autant, l’opportunité budgétaire ne fait pas tout, a fortiori lorsque les projets potentiellement finançables entrent immanquablement en compétition les uns avec les autres et que les capacités d’accompagnement financier d’origine étatique demeurent par nature limitées.

Or, il convient de conserver à l’esprit qu’en matière de sécurisation des SI, comme nous le mettions déjà en évidence dans le premier ouvrage dédié à cette problématique et paru dès 2014, l’une des conditions essentielles du succès, voire la principale d’entre elles, relève d’une volonté politique forte au sens ou l’impulsion doit venir directement des exécutifs territoriaux.

Notre expérience d’universitaire spécialiste du sujet et d’ancien élu d’une ville de plus de 100 000 habitants nous incite donc à préconiser la définition d’une véritable politique publique d’accompagnement des collectivités territoriales en matière de sécurisation de leurs SI. Et ce d’autant plus qu’à la lumière des enseignements tactiques issus du conflit ukrainien, on redécouvre la nécessité de renforcer la défense opérationnelle du territoire français dont les collectivités territoriales demeurent des parties prenantes essentielles.

Rémy Février. Décembre 2022

Publicité

GERER LE CYBER-RISQUE. SENSIBILISER SES COLLABORATEURS. SE POSER LES BONNES QUESTIONS. ACTUALITE – Assurances des Cyber-rançons –

Les objectifs de la démarche de gestion des risques sont de :

  • transférer le risque ;
  • atténuer le risque ;
  • lever le risque ;
  • accepter le risque sous sa forme résiduelle (part qui n’a pu être traitée après les contrôles et plans d’actions).

Détails de la démarche de gestion des risques de type ERM dans l’ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; 👉  https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html

Comment gérer le cyber-risque ?

  • l’assurance pour le transférer
  • les plans d’actions recommandés par l’ANSII pour le prévenir / atténuer sa probabilité d’occurrence et/ou son impact sur l’organisation

Les liens vers les précédents posts du blog / plans d’actions contre le cyber-risque. A LIRE

🚴 Comment agir ?
👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance,  https://gestiondesrisques.net/2022/05/05/ca-bouge-du-cote-du-cyber-risque-3-un-projet-de-loi-permettant-a-lassureur-de-rembourser-les-cyber-rancons/ mettre en place des plans d’actions pour gérer le cyber risque 
👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.
Plans d’action / fraude au président
https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/
Plans d’action / cyber-risques liés au télétravail
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/
Nécessaire implication des salariés / gestion du cyber-risque
https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/
Plans d’actions préconisés par l’ANSII

https://wordpress.com/post/gestiondesrisques.net/1496

Le post de la quinzaine est consacré aux plans d’actions pour prévenir le cyber-risque.

L’identification du risque et la mise en place de plans d’actions sont des étapes « classiques » de la démarche de gestion des risques. Orienter la démarche vers les opérationnels, les prendre en compte et les sensibiliser au risque est moins fréquent. Cela favorise pourtant une culture d’apprentissage et une pro-activité indispensables à la mise en place d’une démarche globale de gestion des risques.

  • un article sur l’importance de la sensibilisation, la faille étant souvent humaine
  • s vidéos de sensibilisation de l’ANSII destinées aux collaborateurs
  • la campagne de sensibilisation de SPIE à la cyber-sécurité

Se poser les bonnes questions.

  • le guide de l’ANSII destiné aux TPE-PME sous la forme de treize questions à se poser. Au moment où le gouvernement débloque sur ce sujet 30 millions d’euros pour les PME-ETI
  • S’y ajoute une veille sur l’actualité / assurance des cyber-rançons : épilogue de l’assurance des cyber-rançons avec la présentation par Paul Berger de Gallardo, Avocat, des grandes lignes du nouvel article du Code des assurances adapté par l’Assemblée.

Cyberattaques : la faille est souvent interne et humaine

Les anciens employés représenteraient 12 % des incidents de sécurité, après eux, les plus dangereux étant les fournisseurs et autres partenaires. 

Les anciens employés et les prestataires constituent une menace sévère mais souvent mal appréciée par l’entreprise.

Les entreprises sont une cible historique des cyberattaques. Mais le premier risque […] trouve son origine au sein même de votre entreprise. L’humain commet en effet des erreurs ou des négligences qui sont une source de grands dangers pour toutes les organisations.

Au sein des entreprises, il est récurrent que la faille de sécurité soit d’origine humaine. En effet, selon une étude réalisée en 2018 par le cabinet Deloitte auprès de ses clients, « 63 % des incidents de sécurité proviennent d’un employé actif au sein des effectifs ». Ces employés ne trahissent pas forcément volontairement leur entreprise, une grande partie d’entre eux commettent des erreurs par inadvertance, erreurs qui ont des conséquences potentiellement dommageables pour leur organisation.

Selon cette même étude, les anciens employés représenteraient 12 % des incidents de sécurité, après eux, les plus dangereux étant les fournisseurs et autres partenaires qui représentent 15 % de ces risques.

Invalider les droits d’anciens employés

Souvent, lorsqu’un employé, voire un stagiaire, quitte une entreprise ou une administration, les droits qui lui avaient été accordés ne sont pas clos et ses identifiant et mot de passe restent valides et donc utilisables. Cela crée une brèche dans la sécurité de l’entreprise et au bout de quelques années, cela peut concerner un nombre d’anciens employés important et donc une faille sécuritaire considérable. Le risque est d’autant plus grand pour les employés quittant l’entreprise en mauvais termes qui sont susceptibles de vouloir nuire à leurs anciens employeurs.

Gare aux prestataires

Les personnels extérieurs à nos organisations avec lesquels nous interagissons représentent également un risque. Certains se servent de cette position pour vous nuire, d’autres peuvent profiter de leur présence dans votre organisation pour vous espionner. Il est également possible que des personnels compromettent des données que vous leur avez confiées en ne les sécurisant pas suffisamment. Cette lacune dans la sécurité peut être volontaire ou non. Ces risques doivent rester présents à votre esprit, car il faudrait être devin pour prédire comment des relations humaines peuvent évoluer, sans oublier les troubles ou fragilités psychiques dont peuvent souffrir ceux avec qui vous avez partagé tout ou partie des données numériques de votre organisation.

Prenons un exemple concret. De nombreux organismes sous-traitent le ménage de leurs locaux à une entreprise spécialisée, et l’on ne remarque plus les passages des personnes chargées de cette tâche, car on est habitué à leur présence quotidienne. Cette invisibilité les rend potentiellement dangereux : par opportunisme ou en étant téléguidés par des personnes malveillantes, ils vont pouvoir récupérer des documents, regarder ce qui est affiché sur les écrans des ordinateurs, photographier des mots de passe négligemment inscrits sur des Post-it® par des employés tête en l’air, capter des informations ou des adresses de personnes qui pourront ensuite être ciblées par des campagnes de phishing ou de chantage par exemple.

Faire de la pédagogie

C’est pour cela qu’il est important que tous les collaborateurs soient sensibilisés au risque cyber et aux bonnes pratiques à mettre en oeuvre. Comme pour les gestes barrières en période de pandémie, nous les connaissons, mais nous avons toujours de bonnes raisons de nous en affranchir ou de les oublier. Là aussi, il ne faut pas hésiter à faire de la pédagogie pour que ces gestes soient bien ancrés dans les esprits de chacun et deviennent des automatismes. Il ne faut pas laisser son écran déverrouillé lorsqu’on n’est pas dans son bureau ou laisser en évidence son mot de passe écrit traîner sur son bureau, ne pas ouvrir les pièces jointes d’e-mails suspects même si les e-mails infectés sont parfois difficiles à détecter.

Lucie et Thierry Brenet. Les Echos. 22 novembre

Les vidéos de sensibilisation de l’ANSII à destination des collaborateurs

Ce post est l’occasion de revenir la dernière campagne de communication de Cybermalveillance.gouv.fr, en collaboration avec l’agence The Pill, qui a retravaillé avec humour et créativité 4 des plus célèbres fables du poète français.

Avec pour objectif de sensibiliser les collectivités, la campagne adapte les iconiques animaux à notre époque pour mettre en lumière les préjugés habituels des acteurs qui ne prêtent que peu d’attention à la cybersécurité : “Je n’ai pas le temps”, “Je n’ai pas le budget”, “Je n’y connais rien, je ne suis pas concerné” et enfin “Ce n’est pas ma priorité”.

Autant de problématiques abordées avec créativité, et toujours en vers, dans 4 petits films animés parmi lesquels on retrouve : Le Corbeau et le Renard, Le Lièvre et la Tortue, La Cigale et la Fourmi et enfin Le Loup et l’Agneau.

Une campagne à découvrir ci-dessous sur Youtube et qui, même si elle s’adresse aux collectivités, ne manquera pas de faire écho aux problématiques des professionnels et même du grand public.

Le Loup et l’Agneau

Problématique : “Ce n’est pas ma priorité”

Le Corbeau et le Renard

Problématique : “Je n’y connais rien, je ne suis pas concerné”

Le Lièvre et la Tortue

Problématique : “Je n’ai pas le temps”

La Cigale et la Fourmi

Problématique : “Je n’ai pas le budget”

La campagne de sensibilisation de SPIE

12 vidéos très courtes mais percutantes

Un exemple, la clé USB : https://lnkd.in/ghDpwp84

La liste complète ici : https://lnkd.in/gv96aSCn

La cybersécurité pour les TPE / PME en 13 questions


Avec la digitalisation des entreprises, le nombre d’attaques informatiques augmente et il faut savoir prévenir les risques potentiels.
Il est bon de mettre en application quelques bonnes pratiques simples ou plus élaborées qui permettent de se protéger d’un certain nombre de cybermenaces.

Découvrez la mise à jour du guide de l’#ANSSI réalisé avec la Direction Générale des Entreprises et le soutien de Cybermalveillance.gouv.fr, France Num et la CPME nationale.

Une veille sur l’actualité / assurance des cyber-rançons : épilogue  

✅ Cyberattaques : le nouveau chapitre du Code des assurances adopté à l’Assemblée nationale

🚨 15 novembre 2022 à 22h : vote sur l’article 4 de la #LOPMI sur l’assurance des cyber-attaques, 127 voix POUR 89 voix CONTRE

⚠️ Quelques clarifications importantes par rapport au texte de la Commission des lois, grâce aux amendements notamment du député Philippe Latombe :

🔹 L’exigence du dépôt de plainte porte désormais sur tout contrat d’assurance visant à indemniser un assuré « des pertes et dommages » (et non plus de « tout dommage ») causés par une cyber-attaque, selon une distinction classique en droit des assurances.

🔹 Le délai de la victime pour déposer plainte passe de 48h à 72h / commence à courir à compter de la « connaissance de l’atteinte par la victime » et non plus à compter de la « constatation de l’infraction ».

🔹 Cet article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle, et donc pas aux consommateurs.

🔜 Le texte déjà voté en première lecture au Sénat et désormais à l’Assemblée nationale devrait faire l’objet d’une Commission mixte paritaire entre députés et sénateurs selon la procédure accélérée engagée par le Gouvernement.

#risques #risque #analysedesrisques #riskanalysis #identificationdesrisques #gestiondesrisques #riskmanagement #enterpriseriskmanagement #cybersecurité #cyber #assurance #cyberrisque #risquecyber #assurancecyber #PME
#riskmanager #riskofficer #gestionnairederisques 

#ANSII #LGTO #LGCO

Octobre 2022 : le cyber-mois. Multiplication des cyberattaques. Causes/Conséquences. Focus sur les cyber-attaques visant les hôpitaux.

L’évaluation du cyber-risque (ses causes, ses conséquences) à partir de l’actualité ; les cyber-attaques continuent : un rapide état des lieux et un focus sur les cyber-attaques visant les hôpitaux à partir de deux articles.  
Les liens vers les précédentes publications du blog sur cette thématique
🏅Le cyber risque, risque n°1 pour les entreprises.
Un risque renforcé par le régulateur-législateur comme amplificateur                        du risque :   « Cyberattaque : le gouvernement légalise l’indemnisation des rançons »
Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur
❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)
 🚴 Comment agir ?
👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance,  https://gestiondesrisques.net/2022/05/05/ca-bouge-du-cote-du-cyber-risque-3-un-projet-de-loi-permettant-a-lassureur-de-rembourser-les-cyber-rancons/ mettre en place des plans d’actions pour gérer le cyber risque 
👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.
Plans d’action / fraude au président
https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/
Plans d’action / cyber-risques liés au télétravail
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/
Nécessaire implication des salariés / gestion du cyber-risque
https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/
Plans d’actions préconisés par l’ANSII
https://gestiondesrisques.net/2022/05/20/ca-bouge-du-cote-du-cyber-risque-4-comment-se-premunir-contre-une-cyberattaque/
La multiplication des cyberattaques. Causes. Quelques chiffres / impact

Le risque cyber croit de manière exponentielle chaque année :
80 % des cyber attaques en France visent des PME ;

94% des cyberattaques sont déclenchées par un email ;

54 % des PME victimes d’une cyber intrusion font état d’une perte > à 500 K€.

Selon une étude publiée par Titiana (une entreprise spécialisée dans la sécurité et la conformité des réseaux) et relayé par Le Monde Informatique, les erreurs de configuration des réseaux coûtent aux entreprises 𝟗 % 𝐞𝐧 𝐦𝐨𝐲𝐞𝐧𝐧𝐞 𝐝𝐞 𝐥𝐞𝐮𝐫 𝐜𝐡𝐢𝐟𝐟𝐫𝐞 𝐝’𝐚𝐟𝐟𝐚𝐢𝐫𝐞𝐬 𝐚𝐧𝐧𝐮𝐞𝐥.
Basée sur une enquête menée auprès de responsables de la cybersécurité de divers secteurs, l’étude met en garde contre les configurations erronées qui rendent les entreprises vulnérables aux cyberattaques et 𝐩𝐞𝐮𝐯𝐞𝐧𝐭 𝐩𝐞𝐫𝐝𝐮𝐫𝐞𝐫 𝐬𝐮𝐫 𝐥𝐞𝐬 𝐫𝐞́𝐬𝐞𝐚𝐮𝐱 𝐩𝐞𝐧𝐝𝐚𝐧𝐭 𝐝𝐞𝐬 𝐦𝐨𝐢𝐬, 𝐯𝐨𝐢𝐫𝐞 𝐝𝐞𝐬 𝐚𝐧𝐧𝐞́𝐞𝐬, 𝐝𝐮 𝐟𝐚𝐢𝐭 𝐝𝐞 𝐥𝐚 𝐫𝐚𝐫𝐞𝐭𝐞́ 𝐝𝐞𝐬 𝐚𝐮𝐝𝐢𝐭𝐬 𝐫𝐞́𝐚𝐥𝐢𝐬𝐞́𝐬 𝐬𝐮𝐫 𝐥𝐞𝐬 𝐚𝐩𝐩𝐚𝐫𝐞𝐢𝐥𝐬 𝐜𝐨𝐧𝐧𝐞𝐜𝐭𝐞́𝐬.
« Les réseaux peuvent subir des changements tous les jours, … ce qui entraîne une dérive de la configuration », a expliqué Phil Lewis, CEO de Titania. « Étant donné que les pare-feux, les routeurs et les commutateurs sont au cœur de la sécurité de tous les réseaux, les entreprises devraient vérifier tous leurs équipements … pour détecter les erreurs de configuration, accidentelles ou délibérées, qui pourraient entraîner des risques de sécurité critiques ».

Octobre 2022

Une cyberattaque a coûté plus de 45 M€ de pertes d’exploitation à CAMAÏEU !
C’est l’une des plus grandes marques de mode féminine françaises, mais elle est dans la tourmente : Camaieu, 517 magasins et 2 574 salariés est en liquidation judiciaire

Août 2022

CLESTRA le roi alsacien des cloisons de bureaux réalisant 145M€ de chiffre d’affaires et employant 700 salariés, a été placée en redressement judiciaire en raison d’une cyberattaque majeure qui a coûté entre 2 et 3M€ à la société en avril dernier.


Focus sur les cyberattaques visant les hôpitaux
Quatre questions sur la diffusion par des hackers de données de santé de l’hôpital de Corbeil-Essonnes

Les hackers ont commencé à diffuser des données de patients, personnels et partenaires du Centre hospitalier Sud Francilien vendredi.

L’affaire s’étale depuis plus d’un mois. Le 21 août dernier, l’hôpital de Corbeil-Essonnes, en banlieue parisienne a été victime d’une cyberattaque avec une demande de rançon. L’établissement ayant refusé de pays, les hackers ont finalement mis leur menace à exécution : ils diffusent, depuis vendredi 23 septembre, des données confidentielles. Cet hôpital assure la couverture sanitaire de près de 700 000 habitants de la grande couronne. Une enquête a été ouverte par le parquet de Paris et confiée aux gendarmes du Centre de lutte contre les criminalités numériques. « L’Obs » revient sur cette attaque avec quatre questions.

Les hôpitaux, des proies faciles face aux cyberattaques

  • De quel type d’attaque l’hôpital de Corbeil-Essonnes a-t-il été la cible ?

Le Centre hospitalier Sud Francilien a été victime d’une attaque via un logiciel rançonneur. Les rançongiciels permettent à des cybercriminels de chiffrer les fichiers des entreprises cibles, réussissant à paralyser tout ou partie de leur activité. Les pirates ont ensuite demandé une rançon de 10 millions de dollars pour déchiffrer les fichiers. Cette dernière aurait ensuite été ramenée à un million de dollars avant d’être à nouveau augmentée à deux millions.

Les acteurs de la cybercriminalité recherchent des cibles ayant un impératif opérationnel, comme les systèmes de santé. Mais en France, les hôpitaux publics ne peuvent pas payer de rançon du fait de leur statut.

« C’est une obsession, tous les jours, de trouver de la place pour les malades ! »

D’autres attaques visent à récupérer des données nominatives pour les monnayer sur le darkweb. « Je vois assez peu l’intérêt de voler des données de patients français », note cependant Cyrille Politi, conseiller en numérique à la Fédération hospitalière de France (FHF), qui rappelle que les dossiers des hôpitaux publics ne comportent ni information bancaire ni mot de passe.

  • À qui appartiennent les données qui sont désormais diffusées ?

Les données publiées vendredi par les hackers « semblent concerner nos usagers, notre personnel ainsi que nos partenaires », a annoncé ce dimanche le CHSF, dans un communiqué envoyé à l’AFP.

Parmi les données divulguées sur le site des cyberattaques figurent potentiellement « certaines données administratives », dont le numéro de sécurité sociale, et « certaines données santé telles que des comptes rendus d’examen et en particulier des dossiers externes d’anatomocytopathologie, de radiologie, laboratoires d’analyse, médecins », précise l’établissement.

« Les bases de données métiers du CHSF, parmi lesquelles figurent les dossiers personnalisés des patients (DPI) et les dossiers relatifs à la gestion des ressources humaines, n’ont pas été compromises », ajoute l’hôpital essonnien dans son communiqué. « L’attaque semble avoir été circonscrite aux serveurs virtuels et à une partie seulement de l’espace de stockage du CHSF (environ 10 %) », détaille-t-il également.

Pourquoi l’hôpital est face à un « risque de cataclysme sanitaire »

Les hackers avaient fixé un ultimatum au 23 septembre à l’hôpital pour payer la rançon. Le délai expiré, ils ont diffusé une série de données. Selon le site spécialisé Zataz, les pirates Lockbit 3.0 ont diffusé ainsi plus de 11 GO de contenus sensibles.

  • Quelle est la réaction du gouvernement ?

Pour lutter contre ce phénomène en expansion, l’Etat avait annoncé consacrer à la cybersécurité des établissements de santé une enveloppe de 25 millions d’euros dans le cadre des 136 millions consacrés à la cybersécurité des acteurs publics pour 2021 et 2022. Parallèlement, 135 hôpitaux ont été désignés « opérateurs de services essentiels », ce qui leur impose de respecter des règles de cybersécurité plus exigeantes que les institutions ordinaires.

Le ministre de la Santé, François Braun, et le ministre délégué chargé de la Transition numérique, Jean-Noël Barrot, en déplacement à Corbeilles-Essonne, ont annoncé le déblocage de 20 millions d’euros supplémentaires pour la protection des établissements de santé. « La santé des Français ne sera pas prise en otage », avait assuré le ministre de la Santé, cinq jours après l’attaque.

Début septembre, Bercy a décidé de mettre fin à une zone grise qui pouvait encourager la cybercriminalité : les assureurs peuvent désormais rembourser les rançons payées par leurs clients.

« Nos patients sont en danger ! » : l’alerte des soignants sur la situation de l’hôpital

Mais la lutte contre la cybercriminalité dépasse amplement le cadre des établissements de santé. Le « coût mondial de la cybercriminalité est évalué à 6 milliards de dollars par an », et les enquêtes sont « toujours très longues, peuvent durer plusieurs mois, voire plusieurs années » et nécessiter une importante coopération internationale, a indiqué à l’AFP le général Christophe Husson, commandant en second du Commandement de la gendarmerie dans le cyberespace (ComCyberGend).

Quel est l’impact de ces attaques sur les hôpitaux ?

« Tout dépend du type d’attaque et si l’équipe informatique arrive à intervenir avant qu’elle ne touche le dossier patient, le cœur du système d’information », détaille Cyrille Politi. Si elle n’y parvient pas, la structure cible peut replonger dans l’ère pré-informatique, impactant et ralentissant toute la communication entre services, notamment les rendus d’examens biologiques ou d’imagerie.

À l’hôpital de Corbeil-Essonnes, la bonne marche de l’établissement a été largement entravée. Deux semaines après l’attaque, les activités des urgences adultes étaient diminuées de moitié. Environ 90 patients étaient accueillis par cet hôpital du sud-est de Paris par jour contre 230 en activité normale.

« L’hôpital public se meurt et tout le monde s’en fout ! »

Un an après avoir été attaqué en février 2021, l’hôpital de Dax, dont les hackers avaient réussi à bloquer même les fichiers sauvegardés, évaluait avoir dû débourser 174 000 euros pour reconstruire son réseau informatique, et au total 2,36 millions d’euros en comptant les prestations de cybersécurité, la sous-traitance, le coût RH et les pertes commerciales, selon un retour d’expérience publié par l’Agence nationale d’appui à la performance (Anap).

« Plus d’un an après, si le cyclone et la tempête sont derrière nous, il reste des stigmates forts, et le Centre hospitalier est loin de naviguer sur une mer d’huile », note l’établissement, cité par l’Anap. Certains logiciels, notamment de bloc opératoire ou d’échographie anténatale, ne sont toujours pas accessibles.

Par L’Obs. Septembre 2022.

Cyberattaques : quels risques pour les hôpitaux et leurs patients ?

Après l’hôpital de Corbeil-Essonnes, l’Ehpad de Beuzeville (Eure) a été victime d’une nouvelle cyberattaque. Ces actes, de plus en plus nombreux, ne sont pas sans danger pour les établissements de santé et leurs patients.

L’hôpital de Corbeil-Essonnes a subi une cyberattaque d’ampleur dans la nuit de samedi à dimanche.

Les cyberattaques sont loin d’être sans conséquences pour les établissements de santé et leurs patients. L’Ehpad de Beuzeville, dans l’Eure, est le dernier à en avoir fait les frais mercredi 24 août. Dans la nuit de samedi à dimanche précédent, c’est l’hôpital de Corbeil-Essonnes, dans le sud-est de Paris, qui voyait son activité fortement perturbée par une cyberattaque d’ampleur de type « rançongiciel ».

Au total, plus de 730 incidents cyber ont été recensés dans le secteur de la santé en 2021, plus du double de l’année précédente. Lorsqu’ils sont touchés par des cyberattaques, « les systèmes informatiques des hôpitaux sont complètement bloqués », explique Corinne Hénin, experte indépendante en cybersécurité. Et pour cause, « tout est informatisé aujourd’hui, du simple scanner aux prescriptions médicales », indique la spécialiste.

Retour au papier

L’attaque visant le réseau informatique du Centre hospitalier sud francilien (CHSF) de Corbeil-Essonnes a ainsi rendu inaccessibles « tous les logiciels métiers de l’hôpital, les systèmes de stockage et le système d’information ayant trait aux admissions de la patientèle », selon un communiqué de l’établissement.

Depuis, c’est retour au papier pour le personnel, contraint de traiter les dossiers manuellement. « Les infirmières, au lieu de saisir par informatique toutes les données des patients, doivent à nouveau remplir des pancartes », expliquait lundi Valérie Caudwell, présidente de la commission médicale du CHSF, sur France Info.

La fiabilité des traitements pénalisée

Touché par une cyberattaque similaire en février 2021, l’hôpital de Dax (Landes) avait dû reporter certaines opérations, faute d’accès aux dossiers de ses patients. Le CHU de Rouen, également victime d’une cyberattaque massive en novembre 2019, avait quant à lui dû traiter les admissions de ses patients à la main, ralentissant considérablement leur prise en charge.

« Un hôpital touché ne peut pas traiter ses patients de la même manière », résume Ingrid Söllner, directrice marketing chez Tehtris, entreprise spécialisée en cybersécurité, alors que les hôpitaux souffrent déjà de sous-effectifs. « Avec le retour au papier, la fiabilité des traitements est fortement pénalisée », estime-t-elle.

Le retour à la normale peut prendre du temps. Un an et demi après, l’hôpital de Dax en garde des « stigmates » selon Aline Gilet-Caubère, sa directrice adjointe. « Au-delà de l’impact sur le collectif qui se fait toujours ressentir, environ 2 % des applicatifs n’ont pas encore été remontés », indique-t-elle.

Les patients comme cibles potentielles

Lors d’une cyberattaque, les patients peuvent par ailleurs directement être pris pour cibles. « Un pirate peut décider de changer la lecture d’un électrocardiogramme et induire le personnel soignant en erreur », alerte Benoît Meulin, porte-parole de WithSecure, entreprise spécialisée dans la cybersécurité.

Les patients peuvent aussi faire l’objet de chantage. C’est ce qui est arrivé en octobre 2020 en Finlande. Des pirates ont dérobé les données de milliers de malades d’une société de psychothérapie, dont leurs discussions avec les médecins. Ils les ont ensuite fait chanter individuellement en menaçant d’en divulguer le contenu.

Un autre risque est l’usurpation d’identité. « Plus vous avez d’informations sur les patients, plus c’est facile d’usurper leur identité », explique Corinne Hénin. Enfin, « les données peuvent se retrouver en vente sur le darknet », ajoute Aroua Biri, experte en cybersécurité, « ce qui fait courir un risque à leur confidentialité ».

La cyberattaque la plus dramatique reste à ce jour celle qui a visé la clinique de Düsseldorf en septembre 2020. Une patiente qui devait y être opérée est morte lors de son transfert d’urgence vers l’hôpital de Wuppertal, à une trentaine de kilomètres.

Marius BOCQUET. Août 2022

ASSURANCE CYBER-RANCONS : une nouveauté le 18 octobre 2022 !

La semaine dernière, je vous faisais un point sur la légalisation par le gouvernement de l’indemnisation des cyber-rançons à partir d’un article et des deux réactions face à cette légalisation. https://gestiondesrisques.net/2022/10/13/blog-https-gestiondesrisques-net-la-rentree-un-peu-en-decale/

Rebondissement, le 18 octobre 2022 : la condition de plainte est modifiée par le Sénat.

Celui-ci nous rappelle, s’il en était besoin, le contenu souvent peu structurant des mesures prises par les pouvoirs publics français (loi NRE, loi SF, principe de précaution…). Or celui-ci est bien souvent à l’origine des logiques de sur-réaction ou de sous-réaction des entreprises. Voir le rôle d’amplificateur du risque du régulateur-législateur que je présente dans mes travaux comme l’un des facteurs qui explique l’ampleur considérable prise depuis la fin des années quatre-vingt-dix par la Fonction Risk Manager. Voir Ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; p.53-65. 👉  https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html

Je vous livre ci-dessous l’analyse de Paul Berger de Gallardo, Avocat / Assurances, cyber, risques industriels. 

🔔 Assurer la cyber-rançon : la condition de la plainte modifiée par le Sénat 🔔

🔹 7 septembre 2022 : dépôt d’un projet de loi par le Gouvernement proposant d’encadrer le remboursement des cyber-rançons par les #assurances, en rendant obligatoire le dépôt d’une « plainte » par la victime « au plus tard 48 h après le paiement de cette rançon ».

🔸 7 octobre 2022 : rédaction d’un amendement du sénateur Rémi Cardon qui transforme la condition d’assurance en une « pré-plainte » devant être déposée « dans les 24h suivant l’attaque et avant tout paiement ».

➡ Objectif : informer au plus vite les autorités compétentes pour agir dès la #cyber-attaque et réduire le nombre de rançons versées.

🔹 18 octobre 2022 : adoption du texte par le Sénat avec l’amendement précité, puis transmission à l’Assemblée nationale.

❓ Quelques interrogations sur cette condition d’assurance modifiée :

🔹 le dépôt d’un pré-plainte est-il opportun alors que ce mode de déclaration n’est pas prévu ni adapté pour les situations d’urgence ?

🔹 le point de départ du délai de 24h fixé au jour de l’attaque et non à celui de la demande de rançon est-il pertinent, alors que certains rançongiciels commencent à œuvrer bien avant que la victime en ait connaissance ?
🔹 le délai de 24h est-il tenable pour une (petite) entreprise sous le coup d’une cyber-attaque ?

Blog. La rentrée, un peu en décalé…

Comme d’habitude, une thématique / une progression / les liens vers les précédentes publications du blog sur cette thématique au début de chaque nouvelle publication.

La thématique de la rentrée : octobre, le cyber-mois

La progression :

–      Un élément de contexte : l’impact du régulateur-législateur comme amplificateur du risque illustré à travers un article « Cyberattaque : le gouvernement légalise l’indemnisation des rançons », deux réactions et une mise en perspective

–      L’évaluation du cyber-risque (ses causes, ses conséquences) à partir de l’actualité ; les cyberattaques continuent : un rapide état des lieux et un focus sur les cyberattaques visant les hôpitaux à partir de deux articles 

–      Les solutions pour prévenir le risque, l’atténuer ou l’accepter sous sa forme résiduelle

  • Le transfert vers les assureurs / lien vers une émission
  • La création par des grands groupes de leur propre société d’assurance
  • Les plans d’actions préconisés par l’ANSII

Les liens vers les précédentes publications du blog sur cette thématique :

🏅Le cyber risque, risque n°1 pour les entreprises.

Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur

❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)

 🚴 Comment agir ?

👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance,  https://gestiondesrisques.net/2022/05/05/ca-bouge-du-cote-du-cyber-risque-3-un-projet-de-loi-permettant-a-lassureur-de-rembourser-les-cyber-rancons/ mettre en place des plans d’actions pour gérer le cyber risque 

👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.

Plans d’action / fraude au président

https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/

Plans d’action / cyber-risques liés au télétravail

https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/

https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/

Nécessaire implication des salariés / gestion du cyber-risque

https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/

Plans d’actions préconisés par l’ANSII

https://gestiondesrisques.net/2022/05/20/ca-bouge-du-cote-du-cyber-risque-4-comment-se-premunir-contre-une-cyberattaque/

Assurance : Bercy donne son feu vert à l’indemnisation des cyber-rançons

Dans un rapport obtenu par « Les Echos », le ministère de l’Economie plaide à son tour en faveur de la prise en charge des rançons en cas d’attaque cyber, à condition que l’entreprise victime porte plainte. La mesure figure dans un projet de loi du ministère de l’Intérieur, qui sera présenté ce mercredi.

Il n’y aura pas d’exception française sur les cyber-rançons. Le ministère de l’Economie acte à son tour le principe d’indemnisation des rançons payées par les entreprises et autres entités visées par les pirates du Net. A condition que la victime porte plainte, stipule, le très attendu rapport de Bercy pour « Le développement de l’assurance cyber », publié ce mercredi et consulté par « Les Echos ».

Cette disposition est inscrite dans le projet de loi d’orientation et de programmation du ministère de l’Intérieur, qui sera présenté ce mercredi en conseil des ministres. Il s’agit de la deuxième version d’un premier texte présenté en mars, dont l’examen n’avait pas débuté sous la précédente mandature. Le texte sera discuté au Parlement à partir d’octobre.

Danger de mort

« Ce projet de loi, qui s’appuie sur les travaux de notre groupe de travail, constitue un point d’équilibre entre la volonté de ne pas financer l’écosystème des cyberattaquants et la volonté d’éviter la mort de PME et TPE touchées par une attaque », explique Bercy. En France, la rançon moyenne réclamée atteignait environ 6.400 euros en 2021, en hausse de 50 % par an depuis 2016, mais certaines demandes se chiffrent en millions d’euros.

Le feu vert du ministère de l’Economie est une nouveauté. « Au moment de la prise de position du ministère de l’Intérieur, il y avait apparemment un manque de coordination entre la Place Beauvau, Bercy et la Justice », explique un bon connaisseur du dossier.

Dès le début d’année, le Haut Comité juridique de la place financière de Paris, saisi par Bercy, avait pris position en faveur de l’indemnisation des rançongiciels par les assureurs . A l’inverse, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) prône de son côté une interdiction , tout comme un rapport parlementaire publié fin 2021, ou bien « un encadrement strict ».

La prise en charge des rançons n’est pas formellement interdite en France. « Le remboursement d’une rançon par l’assureur est a priori licite et peut être comparé à l’assurance couvrant le risque de vol dont le fait générateur est une effraction », souligne même le rapport.

Attentisme

Pour autant, AXA France puis Generali France y avaient renoncé dans l’attente d’une clarification des autorités, de crainte d’être accusés d’être « pousse-au-crime ». Pour minimiser les risques, le rapport insiste sur la nécessaire coopération entre toutes les parties prenantes, notamment les forces de police et de justice.

Aujourd’hui, le gouvernement est pragmatique. Si la France n’offre pas un cadre juridique au paiement des rançons, le risque pourrait se déplacer sur d’autres marchés européens ou mondiaux : les entreprises tricolores pourraient être attaquées dans leurs implantations à l’étranger, ou tentées de souscrire des contrats auprès d’acteurs non régulés en France.

D’autres pistes sont avancées pour renforcer l’attractivité de l’assurance cyber, qui reste un marché de niche. « Les risques cyber sont une priorité du gouvernement pour protéger notre société, notre modèle social et notre souveraineté, rappelle le ministère de l’Economie. La crise sanitaire a été un révélateur des opportunités qu’apportent les moyens numériques pour notre économie, mais aussi des risques encourus par les entreprises, notamment les PME et TPE. Or, sur le plan de l’assurance cyber, l’Europe est en retard sur les Etats-Unis. »

Observatoire de la menace cyber

En France, les polices d’assurance cyber stricto sensu ont collecté 219 millions d’euros de primes en 2021, soit 3,9 % du marché de l’assurance dommages des professionnels dans l’Hexagone. Les grandes entreprises sont les principales utilisatrices de contrats vendus par une poignée d’acteurs : AXA et les anglo-saxons Chubb, AIG et Beazley. L’an dernier, une dizaine de groupes français y ont toutefois renoncé , jugeant les garanties trop limitées ou trop chères, selon l’Association des managers de risques (Amrae).

Pour développer des pratiques de place, l’ACPR, le régulateur de l’assurance, devra « étudier les principales clauses du marché », en coordination avec l’association France Assureurs, explique Bercy. « Il ne s’agit pas de définir des clauses type dans le Code des assurances, mais d’analyser s’il est nécessaire de prendre des dispositions pour améliorer le niveau d’information des assurés », précise le ministère. Autre ambition, à moyen terme : créer un observatoire de la menace cyber, pour répondre au manque criant de données.

Amélie Laurin. Le 7 sept. 2022

L’analyse d’Emmanuelle Hervé


💻 C’est une nouvelle surprenante. Alors que les cyberattaques font rage dans les hôpitaux, leur statut public interdit tout paiement de rançon. Pour les entreprises privées, la règle est encore floue.

📃 Plus de 200 rançons ont été recensées l’an passé. Jusqu’à présent, l’État n’interdisait pas de payer les pirates, mais le déconseillait vivement. Le gouvernement va mettre fin à la zone grise entourant le paiement, par les assureurs, des rançons liées à des piratages informatiques. Les entreprises pourraient ainsi payer les escrocs et se faire rembourser par leurs assureurs en échange d’un dépôt de plainte.

🖲 Cette mesure liée aux cyber-rançons « sera partie intégrante du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) », ajoute le ministère de l’Économie.  Si certaines rançons peuvent atteindre plusieurs millions d’euros, la moyenne des montants demandés se situe autour de 6 400 € en 2021, en hausse annuelle de 50 % sur les cinq dernières années.

🦾 Si les assurances et le gouvernement se montrent favorables au remboursement, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI – Agence nationale de la sécurité des systèmes d’information) prône de son côté une interdiction, emboîtant le pas d’un rapport parlementaire publié fin 2021 et porté par la députée LREM, Valéria Faure-Muntian.  Certaines critiques alarmant le gouvernement sur le risque d’escalade des cyberattaques en cas de paiement des rançons. Rappelons que le marché de l’assurance cyber ne représente que 219 millions d’euros de primes en 2021, soit 3,9 % du marché de l’assurance dommages des professionnels en France.

La réaction de Guillaume Poupard, directeur de l’ANSII

Désabusé, Guillaume Poupard, directeur de l’ANSSI, a réagi ce matin avec humour à l’annonce en commentaire d’une publication LinkedIn. En effet, l’agence prône de son côté une interdiction ou, à minima, un « encadrement strict ».
Conditionnée à un dépôt de plainte, la mesure exprime la volonté du gouvernement de ménager les PME et TPE touchées par des cyberattaques.
Alimentation de la criminalité et déresponsabilisation des acteurs, la communauté #cyber a vivement réagi à la mesure et aux dangers qu’elle peut représenter.

Une interrogation sur le rôle de l’état comme amplificateur de risques

Le législateur-régulateur a contribué et contribue à la diffusion de ce que M. Power appelle l’image d’un monde plus risqué et l’ont amplifiée. Ils amplifient la notion de responsabilité du dirigeant en cas de négligence.

Le concept d’amplification sociale du risque suggère que les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias. Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière…les lois, règlements, normes n’ont cessé de se multiplier.

Voir Ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; p.53-65.

👉  https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html

Analyse des Risques : une façon d’analyser l’ampleur des risques ou comment parler de l’ampleur des risques (2). Le risque géopolitique

L’actualité témoigne d’une ampleur inédite des risques sous l’effet des cinq facteurs à l’œuvre depuis les années quatre-vingt-dix, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des organisations.

🏁 Un ouvrage / « Risk Management. Organisation et Positionnement de la Fonction Risk Manager. Méthodes de Gestion des Risques. » / Paru le 9 juin 2022 / Editions Gereso. https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Sites FNAC…

Il s’agit de :

La 2ème édition de notre ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » (Editions Gereso, 2019)

Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques

 Avec de nouveaux exemples :

Comme, dans le chapitre I « Définition des notions et contextualisation de la Fonction Risk Manager, celui intitulé « Du Risque incendie au Risque éthique : l’incendie de l’usine Lubrizol »

Pour illustrer

  • l’imbrication des facteurs déjà mis en œuvre depuis les années quatre-vingt-dix
  • la transversalité du risque.

🎯 Aujourd’hui, après « Risque Ethique et Risque de Réputation » paru sur le blog (https://gestiondesrisques.net/), je vous propose un autre exemple à travers une analyse du risque géopolitique

  Mêmes facteurs : élargissement du domaine de la gestion des risques / subjectivité et perception du risque / amplification du risque par les médias / le régulateur-législateur / réticence des assureurs à l’assurer

Transversalité du risque : Géopolitique / Cyber-sécurité / Supply Chain

🏅Testez cette grille de lecture sur les risques du Top Ten des baromètres de risques –  cyber-risque/risque sanitaire… – ; sur les affaires – Incendie de l’usine Lubrizol…-.

Le risque géopolitique au centre des préoccupations

N° 13 dans le baromètre Allianz 2022 mais N° 4 dans le Top 10 des risques opérationnels / Enquête RiskIn, 2022. Sans surprise, il est en hausse de plusieurs places cette année.

🔄Un risque transversal

Ci-dessous un aperçu de l’enquête :

« L’invasion de l’Ukraine, les sanctions occidentales et la réponse russe entraînent une forte augmentation des risques liés à la cybersécurité et à la chaîne d’approvisionnement.

Le directeur des risques d’un grand gestionnaire d’actifs européen résume succinctement l’impact de la guerre dévastatrice de la Russie en Ukraine sur le profil de risque opérationnel de son entreprise : « Nous avons la guerre en Europe. Pas seulement de petits moments : des choses qui font entièrement bouger notre entreprise. » Et bien que les votes de l’enquête annuelle Top 10 des risques opérationnels de Risk.net aient été exprimés à l’avènement – dans un climat de détérioration des relations et de rassemblement des troupes russes aux frontières de l’Ukraine – la guerre et ses conséquences ont jeté une ombre horrible sur les résultats de cette année.

Le risque global d’une augmentation des cyberattaques parrainées par l’État en réponse aux sanctions est « une probabilité », déclare un responsable du cyber-risque. Cependant, l’impact de l’instabilité mondiale a des ramifications potentielles beaucoup plus larges pour le profil de menace de sa banque, ajoute le dirigeant : « Je ne prendrais pas seulement ce cas pour mélanger les deux entièrement – le risque géopolitique a [un] élément cyber, mais aussi la chaîne d’approvisionnement ». Et des éléments de résilience aussi. »

La résilience est la capacité à maintenir des services ou des opérations critiques pendant les périodes de perturbation. Les attentes ont été formalisées par les principes de résilience des régulateurs britanniques – qui devraient entrer en vigueur fin mars 2022 – et ont été testées dans le monde réel sous la forme de la pandémie de Covid-19, ainsi que la menace très réelle de pannes frappant les réseaux de paiement. Et d’autres éléments clés de l’infrastructure mondiale à la suite de l’invasion de l’Ukraine.

Ouvrage, disponible aujourd’hui 9 juin 2022, « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »

Professionnels qui souhaitez découvrir ou approfondir vos connaissances sur le Risk Management et la Fonction Risk Manager : un ouvrage, disponible aujourd’hui 9 juin 2022, « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »
🏁 Il est disponible aujourd’hui, 9 juin 2022 / Sur le site de GERESO Editions, collection Management https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html
/ Sur les sites de la FNAC, AMAZON… 

🎯 Il s’agit de :
La 2ème édition de notre ouvrage 📖  « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » / paru chez Gereso Editions / en 2019 / labellisé FNEGE dans la catégorie Manuel en 2020
✅ Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques
✅ Avec des ajouts :
👉 Une nouvelle période d’analyse / de 2019 à aujourd’hui
👉 L’intégration des nouveaux enjeux :
  • la loi sur le devoir de vigilance
  • le risque éthique et le risque de réputation
  • le risque cyber, le risque de fraude et leur gestion
  • le rôle du Risk Manager face à la crise sanitaire du Covid 19

👉 De nouveaux exemples

👓 Pour ceux qui découvrent notre ouvrage, vous y trouverez : 
✅ Un panorama complet de votre fonction (activité, place dans l’organisation, compétences), de la démarche de gestion des risques et de ses outils
✅ Des préconisations pour faire évoluer la fonction
✅ Une double approche académique et de terrain, au niveau du contenu, de nos parcours professionnels, des personnalités qui nous ont fait l’honneur de rédiger la préface et la postface.  

#risques #riskmanagement #gestiondesrisques #ERM#EnterpriseRiskManagement#analysedesrisques #riskmanager #gestionnairederisques #riskofficer #mastergestiondesrisques

CA BOUGE DU COTE DU CYBER-RISQUE (4) COMMENT SE PREMUNIR CONTRE UNE CYBERATTAQUE.

🏅Le cyber risque, risque n°1 pour les entreprises.
Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur
❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)
 🚴 Comment agir ?
👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance, mettre en place des plans d’actions pour gérer le cyber risque :
–          Le prévenir
–          L’atténuer
–          L’accepter sous sa forme résiduelle

👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.

🏔 En savoir plus : à relire sur le blog
Plans d’action / fraude au président
https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/
Plans d’action / cyber-risques liés au télétravail
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/
Nécessaire implication des salariés / gestion du cyber-risque
https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/
🏔 En savoir plus : à découvrir ci-dessous un article sur les plans d’actions préconisés par l’ANSII

Comment se prémunir d’une cyberattaque ?

Depuis quelques années, les cyberattaques se multiplient, en particulier en temps de crise, qu’elle soit sanitaire ou sécuritaire. L’occasion de faire le point sur les recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour vous protéger en ligne.

Vous recevez un courriel estampillé Trésor public vous demandant de fournir vos coordonnées bancaires pour procéder à un remboursement ?

Un service de transport vous demande par sms de cliquer sur un lien pour régler les taxes douanières d’un colis ?

Vous recevez un courriel de la part de la gendarmerie nationale vous accusant d’un délit et vous demandant de répondre sous peine de poursuites ?

Soyez vigilant : les demandes adressées de manière autoritaire ou intimidante, par courriel ou par SMS, dissimulent parfois des tentatives d’arnaques.

Outre la bonne pratique qui consiste à séparer ses usages personnels et professionnels, voici les recommandations de l’ANSSI pour vous prémunir des attaques cyber.

1. Utilisez des mots de passe robustes

L’un des premiers réflexes consiste à définir des mots de passe robustes, à la fois difficiles à trouver par un système automatisé et à deviner pour une tierce personne.

Privilégiez des mots de passe longs, complexes et composés de différents types de caractères (des chiffres, des lettres majuscules, des lettres minuscules et des caractères spéciaux).

2. Préservez votre identité numérique

Préservez votre identité numérique en vous montrant vigilant en ligne et les réseaux sociaux : prenez soin de vos données personnelles et ne communiquez pas vos informations sensibles (numéro de téléphone, adresse ou numéro de carte bleue).

3. Protégez votre messagerie

Si vous recevez un message d’une personne que vous connaissez bien, mais que le contenu est étonnant (un titre en anglais ou dans une autre langue, une demande inhabituelle), faites preuve de prudence !

Vous devez garder en mémoire que l’identité de l’expéditeur peut être usurpée. Soyez attentif à tout indice mettant en doute l’origine réelle d’un courriel : incohérence de forme ou de fond entre le message reçu et ceux que votre interlocuteur légitime vous envoie habituellement.

Dans le même sens, ne répondez pas aux demandes suspectes d’expéditeurs inconnus.

Les demandes d’informations confidentielles sont rarement faites par courriel. Soyez donc attentifs à ces tentatives dites d’hameçonnage, aussi appelées phishing. Par exemple, le règlement de vos impôts passe uniquement par votre profil de contribuable sur le site impots.gouv.fr : le Trésor public ne vous demandera jamais vos coordonnées bancaires par courriel.

Vérifiez les liens qui figurent dans vos courriels avant de cliquer dessus. Si vous avez un doute, saisissez vous-même l’adresse du site dans la barre d’adresse du navigateur.

Assurez-vous également qu’en passant la souris au-dessus du lien proposé, l’adresse du site soit conforme à l’expéditeur annoncé. Souvent, le contenu des sites frauduleux comporte des fautes de français, mais de plus en plus, les tentatives d’hameçonnage emploient un français correct.

Enfin, soyez vigilant avant d’ouvrir les pièces jointes. Elles constituent le principal vecteur d’attaque et peuvent véhiculer des programmes malveillants.

4. Mettez à jour vos équipements

Votre ordinateur doit être équipé d’un antivirus efficace, ainsi que d’un système d’exploitation et de logiciels à jour pour se protéger des cyberattaques.

Les hackers ciblent les ordinateurs utilisant des logiciels qui ne sont pas à jour pour exploiter les vulnérabilités non corrigées.

5. Évitez la connexion aux réseaux non sécurisés

Évitez aussi les réseaux publics ou inconnus. Privilégiez la connexion de votre abonnement téléphonique (3G ou 4G) lorsque vous êtes en déplacement.

Les réseaux wi-fi publics sont souvent mal sécurisés, et peuvent être contrôlés ou usurpés par des pirates qui pourraient ainsi voir passer et capturer vos informations personnelles ou confidentielles (mots de passe, numéro de carte bancaire…).

Si vous n’avez d’autre choix que d’utiliser un wi-fi public, veillez à ne jamais y réaliser d’opérations sensibles et utilisez si possible un réseau privé virtuel (VPN).

6. Sauvegardez régulièrement vos données

Enfin, il faut penser à sauvegarder vos fichiers régulièrement sur un support externe à votre équipement (clé ou disque USB) que vous débranchez une fois la sauvegarde effectuée. En cas de piratage de votre ordinateur, vous risquez de perdre des données (photos, fichiers, contacts, messages…).

Si vous êtes victime d’une cyberattaque

Prévenez vos contacts, changez vos mots de passe, obtenez de l’assistance auprès de cybermalveillance.gouv.fr, déposez plainte.

ANSII. 16/03/2022

Cybersécurité : 5 mesures préventives préconisées par l’ANSSI pour protéger les entreprises

Face aux tensions liées au contexte international actuel, les entreprises doivent rester vigilantes et mettre en place une série d’actions de prévention.

L’ANSSI recommande aux entreprises de rester en alerte face aux cybermenaces.

Alors que la guerre entre la Russie et l’Ukraine gagne aussi le terrain du cyberespace, avec des cyberattaques qui se multiplient des deux côtés, Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), recommande aux organisations françaises de redoubler de vigilance.

Les tensions internationales actuelles, notamment entre la Russie et l’Ukraine, peuvent parfois s’accompagner d’effets dans le cyberespace qui doivent être anticipés. Si aucune cybermenace visant les organisations françaises en lien avec les récents événements n’a pour l’instant été détectée, l’ANSSI suit néanmoins la situation de près. Dans ce contexte, la mise en œuvre des mesures de cybersécurité et le renforcement du niveau de vigilance sont essentielles pour garantir la protection au bon niveau des organisations, explique Guillaume Poupard dans un post LinkedIn.

Concrètement, le directeur général de l’ANSSI demande aux entreprises et aux administrations françaises de suivre avec attention les alertes ainsi que les avis de sécurité publiés et mis à jour régulièrement par le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR). Chaque organisation est également invitée à mettre en place « à court terme » une série de mesures pour « limiter la probabilité d’une cyberattaque ainsi que ses potentiels effets ». L’ANSSI rappelle également que, pour que ces actions soient réellement efficaces, elles doivent « s’inscrire dans une démarche de cybersécurité globale et de long terme ».

Les 5 mesures cyber préventives recommandées par l’ANSSI

Le message relayé par Guillaume Poupard s’accompagne d’un document réalisé par l’Agence nationale de la sécurité des systèmes d’information présentant les « mesures cyber préventives prioritaires » liées aux « tensions internationales actuelles ».

Dans ce diaporama d’une dizaine de pages, l’ANSSI détaille ses 5 recommandations à destination des entreprises, afin de renforcer leur niveau de sécurité informatique :

  1. Renforcer l’authentification sur les systèmes d’information : il s’agit ici de mettre en œuvre une authentification forte pour les comptes particulièrement exposés (administrateurs, personnel de direction, cadres dirigeants…), nécessitant 2 facteurs, soit « un mot de passe, un tracé de déverrouillage ou une signature», soit « un support matériel (carte à puce, jeton USB, carte magnétique, RFID) ou a minima un autre code reçu par un autre canal (SMS) ».
  2. Accroître la supervision de sécurité : un système de supervision des événements journalisés devra être mis en place pour « détecter une éventuelle compromission et de réagir le plus tôt possible ».
  3. Sauvegarder hors-ligne les données et les applications critiques : les sauvegardes effectuées doivent être réalisées en étant déconnectées du système d’information « pour prévenir leur chiffrement », et des solutions de stockage à froid (disques durs externes, bandes magnétiques) peuvent être utilisées afin de « protéger les sauvegardes d’une infection des systèmes et de conserver les données critiques à la reprise d’activité ».
  4. Établir une liste priorisée des services numériques critiques de l’entité : l’ANSSI conseille de réaliser un inventaire des services numériques d’une organisation en les listant par type de sensibilité, et d’identifier les dépendances vis-à-vis des prestataires externes.
  5. S’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque : les entreprises doivent déterminer les contacts d’urgence et établir un plan de réponse adapté à la gestion des cyberattaques.

Alexandra Patard / 2 mars 2022.

CA BOUGE DU COTE DU CYBER-RISQUE (3) UN PROJET DE LOI PERMETTANT A L’ASSUREUR DE REMBOURSER LES CYBER-RANCONS

🏅Le cyber risque, risque n°1 pour les entreprises.

Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur

❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)

 🚴 Comment agir ?

👉 Un projet de loi permettant le remboursement par l’assureur des cyber-rançons

Le post très pédagogique de Paul Berger de Gallardo, avocat, pour faire un point sur le projet de loi

Deux articles pour vous positionner. Et vous quel est votre avis sur ce projet de loi ? Une bonne solution pour les assureurs ? Une solution pour gérer le cyberrisque ?  

👉Les plans d’action préconisés par l’ANSII pour gérer le cyberrisque – dans 15 jours sur le blog

LE POST TRES PEDAGOGIQUE DE PAUL BERGER DE GALLARDO, AVOCAT, POUR FAIRE UN POINT SUR LE PROJET DE LOI.

🔐 Le remboursement par l’assureur des cyber-rançons conditionné à un dépôt de plainte ?

🚨 Un projet de loi prévoit d’encadrer les clauses de remboursement des rançongiciels par les #assurances, en rendant obligatoire le dépôt d’une plainte par la victime dans les 48h après le paiement de cette rançon.

🔹 Quoi ? Le rançongiciel ou ransomware est ainsi défini par l’ANSSI – Agence nationale de la sécurité des systèmes d’information : « envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement ».

🔸Pourquoi ? 20 % des entreprises françaises déclarent avoir subi au moins une attaque par rançongiciel au cours de l’année 2020, atteignant souvent l’activité économique et perturbant parfois la production.

🔕 L’absence fréquente de plainte des victimes, par crainte de reconnaître leur vulnérabilité et de ternir leur image, empêche toute investigation.

🔹Est-ce légal de payer une rançon, et d’être remboursé par son assurance ? Ainsi que l’a rappelé récemment le HCJP (Haut Comité Juridique de la Place Financière de Paris), le paiement d’une rançon par la victime d’une extorsion ne constitue ni un délit ni un acte de complicité dès lors que le consentement au paiement n’est pas libre mais résulte de la contrainte.

➡️ L’assurance du risque de rançongiciel ne paraît se heurter à aucun obstacle juridique majeur.

🔸 Quelles sont les solutions possibles ? L’étude d’impact du projet de loi a analysé trois solutions : 1️⃣ assujettir le remboursement d’une rançon versée par un assureur au dépôt de plainte 2️⃣ rendre obligatoire la déclaration à TRACFIN de tout paiement d’une rançon 3️⃣ promouvoir au niveau européen l’interdiction du paiement des rançons par les assureurs suite à une #cyber-attaque.

⁉️ Pourquoi retenir la première solution ? L’interdiction du paiement des rançons et de leur #assurance pèserait de manière démesurée sur les entreprises qui jouent parfois leur survie. Le dépôt d’une plainte rapide permettrait aux autorités compétentes de bénéficier des informations nécessaires à la poursuite des infractions et de « casser » le modèle de rentabilité des cyber‑attaquants.

🔹 Comment ? Par la création d’un article L. 12-10-1 du Code des assurances prévoyant cette condition de garantie au sein d’un nouveau chapitre « L’assurance des risques de cyber-attaques ».

🕰 La règle envisagée serait d’application immédiate et entrerait en vigueur également pour les contrats en cours.

⬇️ Que pensez-vous du paiement des cyber-rançons, de leur assurabilité et de ce projet de condition de garantie ? ⬇️

DEUX ARTICLES POUR VOUS POSITIONNER / ET VOUS QUEL EST VOTRE AVIS SUR CE PROJET DE LOI ? SOLUTION POUR GERER LE CYBERRISQUE ? 

Loi LOPMI : pour payer la rançon, il faudra déposer plainte

Sécurité : Le nouveau projet de loi d’orientation et de programmation encadre notamment la transition numérique des forces de l’ordre et propose un régime encadrant le paiement des rançons dans les affaires de rançongiciels.

Le projet égrène une douzaine de mesures, dont une partie concerne le développement des capacités des policiers et des gendarmes en matière de réponse aux crimes et délits en lien avec le numérique, ainsi que des dispositions visant à équiper les forces de l’ordre de nouveaux équipements.

Parmi les nouvelles dispositions, le gouvernement propose une première approche visant à encadrer le paiement des rançons suite à des attaques au ransomware. Comme le précise l’article 5 du projet de loi, le versement d’une rançon couverte par l’assureur de la société victime est possible si la victime accepte de déposer plainte dans les 48 heures après le paiement de la rançon.

Pas d’interdiction du paiement des rançons

Une manière de trancher le débat qui faisait rage depuis plusieurs mois autour du paiement des rançons exigées par les groupes de rançongiciels. Le directeur de l’Anssi avait allumé la mèche en fustigeant publiquement les « intermédiaires » qui acceptaient de payer les rançons, mais il avait également reconnu que cette possibilité devait rester ouverte dans certains cas. Depuis, les assureurs étaient nombreux à réclamer « une clarification » des règles sur le sujet, certains ayant choisi de cesser de proposer leurs assurances cyber prévoyant le paiement de rançons dans les affaires de ransomware.

En la matière, le gouvernement a donc choisi de s’aligner sur la proposition émise par le haut comité juridique de la place financière de Paris, qui avait été saisi du sujet et a publié un rapport à la fin du mois de janvier sur la question. Le haut comité recommandait de ne pas interdire purement et simplement le paiement des rançons, mais de conditionner celui-ci à un dépôt de plainte. Cette approche laisse donc une certaine marge de manœuvre aux victimes et à leurs assureurs, en leur permettant d’envisager le paiement d’une rançon pour espérer récupérer l’accès aux données. Et elle donne un coup de pouce aux forces de l’ordre qui ont du mal à convaincre les entreprises de déposer plainte après une attaque informatique.

Renforcer les forces de l’ordre sur le numérique

Outre cette disposition, le projet de loi prévoit également d’étendre les enquêtes sous pseudonyme, jusqu’alors réservées à certains délits concernant le trafic de drogues et d’armes, à l’ensemble des crimes et délits punis d’une peine d’emprisonnement. Le projet de loi prévoit également d’ouvrir aux forces de police la saisie « d’actifs numériques », terme utilisé pour décrire les cryptomonnaies et autres actifs basés sur une blockchain, aujourd’hui fréquemment utilisés dans le blanchiment d’argent et les affaires de rançongiciels.

Le texte reprend des mesures annoncées par le président de la République lors du discours de clôture du Beauvau de la sécurité, comme la place d’un « numéro 17 » dédié à la fraude informatique, la création de 1 500 postes de cyberpatrouilleurs et la création d’une agence du numérique des forces de sécurité, chargée de superviser l’équipement des policiers et gendarmes en smartphones et accessoires nécessaires aux enquêtes. Le montant prévu de ces différents investissements est estimé à 8 milliards d’euros.

Adopté en conseil des ministres, le texte doit maintenant être soumis au vote du parlement. Mais, calendrier oblige, celui-ci ne sera présenté qu’après l’élection présidentielle, donc pour la prochaine législature. Un timing relevé par le Conseil d’Etat dans son avis sur la loi, qui remarque le calendrier « pour le moins habituel » pour un projet de loi de ce type.

Par Louis Adam. Mars 2022

Cyberattaques : les assureurs rassurés sur la possibilité de couvrir les rançons

Un projet de loi prévoit qu’une entreprise victime d’une cyberattaque et contrainte de payer une rançon devra déposer plainte pour obtenir la prise en charge de ce paiement par son assureur. Une bonne nouvelle pour les représentants du secteur.

Les promesses ont mis du baume au coeur des syndicats de policiers mais aussi… des assureurs. Le plan de modernisation des moyens des forces de l’ordre , présenté par le gouvernement à la mi-mars, est en effet considéré par la profession comme une bonne nouvelle pour le développement dans l’Hexagone des assurances contre les cyberattaques.

Le projet de loi, dit LOPMI, prévoit notamment d’obliger les entreprises victimes d’un rançongiciel à porter plainte dans les 48 heures suivant le paiement d’une rançon pour obtenir sa prise en charge par l’assurance. Et ce, afin « d’améliorer l’information des forces de sécurité et de l’autorité judiciaire, et de ‘casser’ le modèle de rentabilité des cyberattaquants », note le projet.

Pas de changement sur le fond

« La France, comme les autres pays dans le monde, ne veut pas interdire l’incorporation de la garantie sur le paiement des rançons dans les contrats d’assurance cyber », a salué la semaine dernière, lors d’une conférence de presse, la présidente de la fédération France Assureurs, Florence Lustman, se félicitant d’une telle clarification.

La portée de cette disposition est à relativiser. Déposé à quelques semaines de l’élection présidentielle, le projet de loi n’est à ce stade pas à l’étude au Parlement et son avenir dépendra du résultat du scrutin. Par ailleurs, si la mesure était adoptée, elle ne changerait pas les habitudes. Elle « ne change rien sur le fond car les assureurs imposaient déjà un dépôt de plainte », explique Mickaël Robart, expert chez le courtier Diot-Siaci.

« Mais elle montre que le risque cyber est plutôt traité par les assureurs de façon responsable. » Ceux-ci veulent croire qu’avec ce projet de loi, il n’y a plus d’insécurité juridique : les services de l’Etat ont tranché, notamment Bercy qui a lancé l’été dernier des travaux sur la cyberassurance .

Autrement dit, ils n’iront pas dans le sens du patron de l’Agence nationale de la sécurité des systèmes d’information (ANSII) et de la vice-procureure en charge de la cybersécurité au parquet de Paris. Au printemps dernier, ces derniers avaient estimé que la prise en charge des rançons par l’assurance pouvait encourager la cybercriminalité.

Pas de changement chez AXA France

En octobre, un rapport parlementaire avait préconisé l’interdiction du paiement des rançons. Au contraire, en début d’année, des experts avaient mis en garde contre les effets d’une telle interdiction.

Signe que le sujet est sensible, Generali France a décidé en début d’année de tourner le dos au paiement des rançons. Quant à AXA France, qui avait décidé de suspendre sa garantie rançon l’an dernier, il n’a pas changé de politique avec la loi LOPMI, indique un porte-parole.

Solenn Poullennec. Avril 2022.