Cybersécurité : une députée appelle l’État à élargir l’aide aux collectivités

Pour la députée de la Loire Valéria Faure-Muntian (LREM), l’épidémie actuelle de cyberattaques, multipliées par 4 entre 2019 et 2020, en hausse de 60% depuis janvier 2021 d’après l’Anssi, est directement imputable à la "dématérialisation à marche forcée de ces deux dernières décennies". La généralisation du télétravail au printemps 2020 du fait de la crise sanitaire n’a ensuite rien n’arrangé. "L’une des conséquences de ce processus a été de minorer pour partie les investissements en termes de cybersécurité, que cela soit sur le plan de la sensibilisation des collaborateurs, de la mise en place de systèmes de cybersécurité dans les systèmes d’information ou de la couverture assurantielle des risques cyber" relève-t-elle dans un rapport porté par le groupe d’études assurances de l’Assemblée nationale.

Verser les aides cyber directement aux collectivités

Les premières victimes des cyber-attaques sont les TPE, PME et les collectivités territoriales. Leurs investissements de cybersécurité sont aujourd’hui trop souvent réalisés après les attaques, avec des organisations très démunies, qui "ne savent pas toujours par où commencer". Concernant les collectivités, la députée invite l’État à infléchir sa stratégie. Aujourd’hui, l’essentiel des moyens passe par l’Anssi chargée par l’État d’accompagner les collectivités dans le cadre de parcours cyber (notre article du 11 juin). Cette aide est cependant conditionnée par le fait de posséder un responsable de la sécurité des systèmes d’information (RSSI). La députée propose d’attribuer les subventions directement aux collectivités pour leur permettre de réaliser un audit de cybersécurité et de s’outiller. Avec à la clef un coup de pouce aux solutions cyber "souveraines" portées par des fleurons tricolores. 

Mieux assurer le risque cyber

Elle suggère aussi d’imposer aux entreprises qui travaillent avec l’État, des opérateurs d’importance vitale (OIV) ou de services essentiels (OSE) - soumis à des normes élevées de cybersécurité et placées sous le contrôle de l’Anssi dans le cas des OSE - de se doter d’une police d’assurance cyber. Des cyber-polices qui couvriraient à peine 1% des collectivités territoriales, 8% des ETI alors que 87% des grands groupes en sont dotés selon une étude de l’association pour le management des risques et des assurances de l’entreprise (Amrae). Un déséquilibre qui amène la députée à demander la création d’une nouvelle branche d’assurance dédiée à la cyber-assurance, à même de concevoir une offre adaptée aux besoins des TPE, PME et collectivités.

Renforcer les moyens du GIP Acyma

Le préalable à ces offres est cependant d’acculturer massivement les petites organisations aux cyber-risques, pour accroitre leur assurabilité. Dans cette optique, la députée invite à renforcer les moyens matériels, financiers et humains du GIP Acyma / Cybermalveillance chargé de l’information et de l’accompagnement du grand public, des TPE comme des "petites" collectivités.  Un accroissement de moyens indispensable pour permettre au GIP de mener à bien de nouveaux chantiers, notamment la création d’un observatoire national des risques numériques prévu dans le cadre du "campus cyber" ainsi qu'un label "ville cyber responsable" dont le lancement est prévu début 2022 (voir encadré).  Le GIP se verrait également chargé d’assurer la remontée "anonyme" des incidents cyber.

65% des entreprises paient la rançon

Concernant les rançongiciels, le rapport note qu’il y a eu un report des cyberattaques des États-Unis vers l’Europe et notamment la France, "l’un des pays qui paye le plus au monde les demandes de rançons". De fait, un assureur interrogé par la délégation parlementaire évalue à 65% (!) la part des sinistrés ayant payé une rançon. Un chiffre, à rapprocher des 14% d’entreprises victimes de rançongiciels, qui donne une idée du "marché" français du rançongiciel. En pratique, ces rançons sont payées soit directement par les entreprises, soit par les assureurs quand la police d’assurance ne l’interdit pas. Une situation déplorée par la députée qui demande "d’inscrire dans la loi l’interdiction pour les assureurs de garantir, couvrir ou d’indemniser la rançon" tout en améliorant la couverture des conséquences des cyberattaques. Quant au paiement direct de la rançon par les victimes, sujet beaucoup plus controversé car il en va parfois de la survie de l’entreprise, la députée souligne que "le paiement des rançons alimente la cybercriminalité et rien ne garantit que la rançon payée soit un gage de retour à la situation initiale".

Définir juridiquement les cyber-risques et cyberattaques

Convaincue de l’importance de la contribution des assureurs pour préparer entreprises et administrations aux cyberattaques, la députée mesure cependant l’importance du chemin à parcourir de part et d’autre. Du coté des organisations, l’adoption des règles d’hygiène informatique de base et la formation des personnels sont un préalable à leur assurabilité. Du coté des assurances, un changement culturel est également nécessaire, car elles sont encore trop nombreuses à refuser de prendre en charge les dommages liés à une cyberattaque. Aussi un des chantiers prioritaires poussé par la députée est du reste d’énoncer une définition juridique du cyber-risque et des cyber-attaques, préalable à leur assurabilité.