Rançonnage informatique des entreprises françaises : l’attitude de certains assureurs pousse au crime

Certains assureurs apparaissent comme des pousse au crime dans les attaques par rançonnage informatique que subissent de plus en plus d’entreprises françaises. En payant les rançons exigées par les attaquants, ces assureurs encouragent la récidive et cela entretient le cercle vicieux des attaques. C’est ce que dénoncent Johanna Brousse, vice-procureur au Tribunal judiciaire de Paris, chef de la section J3, en charge de la lutte contre la cybercriminalité et Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes informatiques (Anssi). Tous deux ont pris la parole le 15 avril dans le cadre d’une table ronde organisée par la délégation aux entreprises du Sénat.

Des assureurs garantissent le paiement des rançons

Le paiement des rançons est au centre des enjeux. « Il va falloir durcir le ton face au paiement des rançons » demande fermement Johanna Brousse. « Aujourd’hui, la France est un des pays les plus attaqués en matière de ransomware. Pourquoi ? Parce que nous payons trop facilement les rançons » déclare-t-elle. « Nous nous sommes rendus compte que les assureurs garantissaient le paiement des rançons, pour certains pas pour tous, ils mettent des conditions. Mais il va falloir travailler là-dessus » dit-elle. « Il faut faire comprendre à chacun que s’il paye la rançon, cela va pénaliser tous les autres parce que les hackers vont s’en prendre plus facilement à notre tissu économique en se disant que les Français de toute façon c’est bien connu ils paient » poursuit-elle. « Le mot d’ordre à faire passer est qu’en matière de ransomware nous ne voulons  plus payer et que nous n’allons plus payer. C’est indispensable pour tarir la source et pour que les hackers aient conscience que la France n’est pas la poule aux œufs d’or et qu’il ne faut pas nous attaquer » établit-elle.

Son avis est partagé par Guillaume Poupard de l’Anssi. « Ce que dit Johanna est très important » confirme le patron de l’Anssi. Il encourage les victimes des attaques par ransomware à faire front commun en déclarant qu’elles ne paieront pas. Lui aussi critique l’attitude de certains assureurs. « L’important est de dissuader les attaquants d’attaquer en leur disant bien que la rançon ne serait pas versée. Là on a un très très gros travail je rejoins totalement ce qu’a dit Johanna » débute-t-il. Pour lui, cela passe par une sensibilisation des victimes et de l’écosystème qui les entoure.

« Parce qu’aujourd’hui, on voit un jeu trouble de certains assureurs, je rejoins le constat [NDLR : de Johanna Brousse] » dit-il. Il reconnaît que le raisonnement des assureurs est économiquement très rationnel. «Un assureur s’il a le choix entre payer quelques millions de rançon ou plusieurs dizaines de millions au titre de la police d’assurance qui a été contractée, et s’il estime en avoir le droit, il va payer la rançon » commente-t-il. «  C’est une évidence. Il y a une rationalité qui est implacable » déplore-t-il. Pour lui aussi, il faut un travail de fond pour casser le cercle vicieux autour du paiement des rançons. « Et puis il faut dire haut et fort que les hôpitaux en France ne paient pas de rançon. Les collectivités locales ne paieront pas de rançon » ajoute-t-il.

Ecarter les intermédiaires spécialisés dans la négociation de rançons

Certains intermédiaires sont également dans son viseur. Le patron de l’Anssi recommande de faire la chasse aux intermédiaires qui négocient le montant des rançons pour les entreprises. « Ils sont un petit peu gris, pas blancs, pas noirs. Ils font un business du paiement des rançons, et ils vont se rémunérer parfois sur leur capacité à négocier avec les criminels le versement des rançons. C’est extrêmement malsain » pense-t-il. «Il faut lutter très efficacement contre cela parce qu’autrement c’est une sorte d’écosystème qui va se créer autour des activités criminelles et le résultat sera catastrophique » termine-t-il. De son intervention, on retiendra également qu’il considère que l’heure est véritablement grave sur les questions de sécurité informatique. « Tout va mal objectivement. Entre 2019 et 2020, on compte un facteur 4 en nombre de victimes » établit-il.

Il rappelle qu’il est essentiel que chaque entreprise soit acteur de sa propre protection car la responsabilité est également du côté des victimes potentielles. « Il faut répondre à des questions de base. Est-ce que vous avez des sauvegardes ? Un anti virus ? Votre messagerie est-elle sécurisée ? Cela commence là » liste-t-il. De son côté, Johanna Brousse pointe également l’explosion du nombre de cyber attaques. Elle dénombre 397 saisines en 2020  et s’attend à un doublement en 2021. « De nombreuses attaques ont été commises au préjudice des hôpitaux, ce qui n’existait pas avant. Les ransomware est l’un de nos principaux problèmes. La section J3 de Paris va se saisir de tous les dossiers de ransomware sur le territoire national » annonce-t-elle.

La magistrate pointe le manque de moyens de la justice et des enquêteurs. « En toute transparence, la section J3 du parquet de Paris qui a une compétence nationale, c’est seulement 3 magistrats. Il sera indispensable de voir nos effectifs augmenter mais pas seulement nos effectifs, on ne peut pas travailler sans la police, l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication) et la gendarmerie. Il n’y a que 10 enquêteurs à l’OCLCTIC au groupe piratage pour 397 dossiers. Ils devront être renforcés » demande-t-elle.