Blog https://gestiondesrisques.net/

‍

Comme d’habitude, une thématique / une progression / les liens vers les précédentes publications du blog sur cette thématique au début de chaque nouvelle publication.

La thématique de la rentrée : octobre, le cyber-mois

La progression :

-       Un élément de contexte :l’impact du régulateur-législateur comme amplificateur du risque illustré à travers un article « Cyberattaque : le gouvernement légalise l’indemnisation des rançons » et deux réactions ; en savoir plus (qu’est-ce que l’amplification du risque ?)

-      L’évaluation du cyber-risque (ses causes, ses conséquences) à partir de l’actualité ; les cyberattaques continuent : un rapide état des lieux et un focus sur les cyberattaques visant les hôpitaux à partir de deux articles 

-      Les solutions pour prévenir le risque, l’atténuer ou l’accepter sous sa forme résiduelle

• Le transfert vers les assureurs /lien vers une émission
• La création par des grands groupes de leur propre société d’assurance
• Les plans d’actions préconisés par l’ANSII

Les liens vers les précédentes publications du blog sur cette thématique

‍

🏅Le cyber risque, risque n°1 pour les entreprises.

❓ Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur

❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ;un impact fort (voir coût élevé)

🚴 Comment agir ?

‍

👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance,  https://gestiondesrisques.net/2022/05/05/ca-bouge-du-cote-du-cyber-risque-3-un-projet-de-loi-permettant-a-lassureur-de-rembourser-les-cyber-rancons/ mettre en place des plans d’actions pour gérer le cyber risque 

‍

👉 L’AgenceNationale de Sécurité des Systèmes d’Information(ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.

Plans d’action / fraudeau président

https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/

Plans d’action /cyber-risques liés au télétravail

https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/

https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/

Nécessaire implication dessalariés / gestion du cyber-risque

https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/

Plans d’actions préconiséspar l’ANSII

https://gestiondesrisques.net/2022/05/20/ca-bouge-du-cote-du-cyber-risque-4-comment-se-premunir-contre-une-cyberattaque/

Assurance : Bercy donne son feu vert à l'indemnisation des cyber-rançons

Dans un rapport obtenu par « Les Echos », le ministère de l'Economie plaide à son tour en faveur de la prise en charge des rançons en cas d'attaque cyber, à condition que l'entreprise victime porte plainte. La mesure figure dans un projet de loi du ministère de l'Intérieur, qui sera présenté ce mercredi.

Il n'y aura pas d'exception française sur les cyber-rançons. Le ministère de l'Economie acte à son tour le principe d'indemnisation des rançons payées par les entreprises et autres entités visées par les pirates du Net. A condition que la victime porte plainte, stipule, le très attendu rapport de Bercy pour « Le développement de l'assurance cyber », publié ce mercredi et consulté par« Les Echos ».

Cette disposition est inscrite dans le projet de loi d'orientation et de programmation du ministère de l'Intérieur, qui sera présenté ce mercredi en conseil des ministres. Il s'agit de la deuxième version d'un premier texte présenté en mars, dont l'examen n'avait pas débuté sous la précédente mandature. Le texte sera discuté au Parlement à partir d'octobre.

‍

Danger de mort

« Ce projet de loi, qui s'appuie sur les travaux de notre groupe de travail, constitue un point d'équilibre entre la volonté de ne pas financer l'écosystème des cyberattaquants et la volonté d'éviter la mort de PME et TPE touchées par une attaque », explique Bercy. En France, la rançon moyenne réclamée atteignait environ 6.400 euros en 2021, en hausse de 50 % par an depuis 2016, mais certaines demandes se chiffrent en millions d'euros.

Le feu vert du ministère de l'Economie est une nouveauté. « Au moment de la prise de position du ministère de l'Intérieur, il y avait apparemment un manque de coordination entre la Place Beauvau, Bercy et la Justice », explique un bon connaisseur du dossier.

Dès le début d'année, le Haut Comité juridique de la place financière de Paris, saisi par Bercy, avait pris position en faveur de l'indemnisation des rançongiciels par les assureurs . A l'inverse, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) prône de son côté une interdiction , tout comme un rapport parlementaire publié fin 2021, ou bien« un encadrement strict ».

La prise en charge des rançons n'est pas formellement interdite en France. « Le remboursement d'une rançon par l'assureur est a priori licite et peut être comparé à l'assurance couvrant le risque de vol dont le fait générateur est une effraction », souligne même le rapport.

Attentisme

Pour autant, AXA France puis Generali France y avaient renoncé dans l'attente d'une clarification des autorités, de crainte d'être accusés d'être« pousse-au-crime ». Pour minimiser les risques, le rapport insiste sur la nécessaire coopération entre toutes les parties prenantes, notamment les forces de police et de justice.

Aujourd'hui, le gouvernement est pragmatique. Si la France n'offre pas un cadre juridique au paiement des rançons, le risque pourrait se déplacer sur d'autres marchés européens ou mondiaux : les entreprises tricolores pourraient être attaquées dans leurs implantations à l'étranger, ou tentées de souscrire des contrats auprès d'acteurs non régulés en France.

D'autres pistes sont avancées pour renforcer l'attractivité de l'assurance cyber, qui reste un marché de niche.« Les risques cyber sont une priorité du gouvernement pour protéger notre société, notre modèle social et notre souveraineté, rappelle le ministère de l'Economie.La crise sanitaire a été un révélateur des opportunités qu'apportent les moyens numériques pour notre économie, mais aussi des risques encourus par les entreprises, notamment les PME et TPE. Or, sur le plan de l'assurance cyber, l'Europe est en retard sur les Etats-Unis. »

Observatoire de la menace cyber

En France, les polices d'assurance cyber stricto sensu ont collecté 219 millions d'euros de primes en 2021, soit 3,9 % du marché de l'assurance dommages des professionnels dans l'Hexagone. Les grandes entreprises sont les principales utilisatrices de contrats vendus par une poignée d'acteurs : AXA et les anglo-saxons Chubb, AIG et Beazley. L'an dernier, une dizaine de groupes français y ont toutefois renoncé , jugeant les garanties trop limitées ou trop chères, selon l'Association des managers de risques (Amrae).

Pour développer des pratiques de place, l'ACPR, le régulateur de l'assurance, devra « étudier les principales clauses du marché », en coordination avec l'association FranceAssureurs, explique Bercy. « Il ne s'agit pas de définir des clauses type dans le Code des assurances, mais d'analyser s'il est nécessaire de prendre des dispositions pour améliorer le niveau d'information des assurés », précise le ministère. Autre ambition, à moyen terme : créer un observatoire de la menace cyber, pour répondre au manque criant de données.

Amélie Laurin. Le 7 sept. 2022

L’analyse d’Emmanuelle Hervé

💻 C’est une nouvelle surprenante. Alors que les cyberattaquesfont rage dans les hôpitaux, leur statut public interdit tout paiement derançon. Pour les entreprises privées, la règle est encore floue.

📃 Plus de 200 rançons ont été recensées l'an passé. Jusqu'àprésent, l'État n'interdisait pas de payer les pirates, mais le déconseillaitvivement. Le gouvernement va mettre fin à la zone grise entourant le paiement,par les assureurs, des rançons liées à des piratages informatiques. Lesentreprises pourraient ainsi payer les escrocs et se faire rembourser par leursassureurs en échange d'un dépôt de plainte.

🖲 Cette mesure liée aux cyber-rançons « sera partie intégrantedu projet de loi d’orientation et de programmation du ministère de l’Intérieur(LOPMI) », ajoute le ministère de l’Économie.  Si certaines rançonspeuvent atteindre plusieurs millions d’euros, la moyenne des montants demandésse situe autour de 6 400 € en 2021, en hausse annuelle de 50 % sur les cinqdernières années.

🦾 Si les assurances et le gouvernementse montrent favorables au remboursement, l’Agence Nationale de la Sécurité desSystèmes d'Information (ANSSI - Agence nationale dela sécurité des systèmes d'information) prône de son côté une interdiction, emboîtant le pas d'unrapport parlementaire publié fin 2021 et porté par la députée LREM, ValériaFaure-Muntian.  Certaines critiques alarmant le gouvernement sur le risqued’escalade des cyberattaques en cas de paiement des rançons. Rappelons que lemarché de l’assurance cyber ne représente que 219 millions d'euros de primes en2021, soit 3,9 % du marché de l'assurance dommages des professionnels enFrance.

La réaction de Guillaume Poupard, directeur del’ANSII

Désabusé, Guillaume Poupard, directeur de l’ANSSI, a réagi ce matin avec humour à l'annonce en commentaire d'une publication LinkedIn. En effet, l’agence prône de son côté une interdiction ou, à minima, un « encadrement strict ».
Conditionnée à un dépôt de plainte, la mesure exprime la volonté du gouvernement de ménager les PME et TPE touchées par des cyberattaques.
Alimentation de la criminalité et déresponsabilisation des acteurs, la communauté #cyber a vivement réagi à la mesure et aux dangers qu’elle peut représenter.

Une interrogation sur le rôle de l’état comme amplificateur de risques

Le législateur-régulateur a contribué et contribue à la diffusion de ce que M. Power appelle l’image d’un monde plus risqué et l’ont amplifié. Ils amplifient la notion de responsabilité du dirigeant en cas de négligence.

Le concept d’amplification sociale du risque suggère que les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias. Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière…les lois, règlements, normes n’ont cessé de se multiplier.

Voir Ouvrage d’Aubry et Dufour : « Risk Management.Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; p.53-65.

👉  https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html

‍

‍

--------------------------------

p/o Virginie Gastine Menou

RISQUES ET VOUS

http://www.risquesetvous.fr/

https://www.linkedin.com/company/risques-et-vous

✍🏼Proposer une offre de job : https://www.graces.community/recruteur

💈Consulter les offres qui vous correspondent : https://www.graces.community/candidat

‍