Verser les aides directement aux collectivités, renforcer la prévention, adapter l’offre d’assurance... Dans un rapport publié la semaine dernière, la députée de la Loire Valéria Faure-Muntian (LaRem), fait un état des lieux de la situation de la cyber-assurance et du « risque cyber »  en France, et fait 20 propositions.

Des cyber-attaques multipliées par quatre durant la crise

Premier constat, la crise sanitaire a démultiplié les cyber-attaques. Citant les derniers chiffres de l’Agence nationale de la sécurité des systèmes d’information (Anssi), la co-présidente du groupe d’études assurances à l’Assemblée rappelle que le nombre d’attaques a quadruplé depuis le début de la pandémie de Covid-19. En 2020, les signalements d’attaques par rançongiciels ont ainsi augmenté de 225% par rapport à 2019 tandis que « les tentatives de phishing ont augmenté de 400 % »  entre mars 2020 et février 2021.

Selon les données de la gendarmerie nationale reprises dans le rapport, 46 % des victimes de rançongiciels étaient, en 2020, des PME, 21 % des TPE, 14 % des administrations et 9 % des grands groupes.

Avec le recours massif au télétravail et la dématérialisation de nombreuses démarches, Valéria Faure-Muntian estime que la crise sanitaire a joué « un rôle d’accélérateur »  pour les entreprises, les collectivités, mais également les cybercriminels qui se sont, « eux aussi, saisis de cette opportunité pour multiplier les cyber-attaques ». « Ces dernières ont mis en évidence la vulnérabilité des entreprises françaises, des collectivités territoriales, des administrations et des établissements publics face à ce phénomène de grande ampleur », constate l’élue. 

Orienter les aides directement vers les collectivités

Alors que les entreprises et les collectivités territoriales ont mis en œuvre une digitalisation à « marche forcée », durant ces deux dernières décennies, « l’une des conséquences de ce processus a été de minorer pour partie les investissements en termes de cybersécurité, que cela soit sur le plan de la sensibilisation des collaborateurs, de la mise en place de systèmes de cybersécurité dans les systèmes d’information ou de la couverture assurantielle des risques cyber », explique Valéria Faure-Muntian.

Et bien que « de plus en plus d’entreprises et de collectivités prennent conscience des risques cyber », celles-ci « ne savent pas toujours comment commencer, et à qui faire appel ». 

Pour tenter de résoudre ce problème qui touche parfois « des services publics essentiels et vitaux », la députée préconise, entre autres, « d’orienter directement les aides publiques aux collectivités », et non forcément via l’Anssi, afin qu'elles puissent effectuer des audits de cybersécurité et se doter d’un dispositif dédié.

Plus de moyens pour cybermalveillance.gouv.fr

Afin de renforcer la prévention pour limiter les risques, le rapport préconise de « sensibiliser au moins une fois par an les salariés des petites et moyennes entreprises aux risques cyber »  et de « créer pour les collectivités, les administrations et les entreprises un prérequis en matière de cybersécurité ».

En outre, Valéria Faure-Muntian recommande de renforcer l’écosystème de cybersécurité, qu’elle juge « éclaté »  en France. Pour cela, elle suggère de renforcer les moyens humains, matériels et financiers du dispositif cybermalveillance.gouv.fr qui accompagne les victimes de cyber-attaques avec, notamment, une assistance en ligne et une mise en relation avec des experts en cyber-sécurité dans les territoires. 

Une augmentation du soutien de l’État qui permettrait de réaliser dans de bonne condition la création d’un Observatoire national de la menace et du risque numérique, tout comme celle d’un recueil anonyme des cyber-attaques, réclamé par l’élue.

Celle-ci souhaite également favoriser « l’achat par les collectivités et les administrations de solutions souveraines »  puisque la France dispose avec ses entreprises de cybersécurité « des meilleurs outils de cyber-protection après les États-Unis, Israël et la Grande-Bretagne ». 

Interdiction d’assurer les rançons

Par ailleurs, elle recommande d’imposer aux entreprises qui travaillent avec l’État, des opérateurs d'importance vitale (OIV) ou des opérateurs de services essentiels (OSE) à se doter d’une police d’assurance cyber.

Et si près de 87 % des grands groupes bénéficient d’un programme d’assurance cyber, c'est le cas de seulement 8 % d’ETI, 0,0026 % des PME et 1 % des collectivités. Un marché de la cyber-assurance que l’élue juge encore « timide »  avec un taux de pénétration « très faible », pour lequel elle propose de créer une nouvelle branche d’assurance dédiée et de développer des « solutions hybrides de cybersécurité et de cyber-assurance »  pour les petites et moyennes entreprises et les collectivités.

Bien qu’elle appelle à mettre en place une offre d’assurance adaptée, Valéria Faure-Muntian estime qu’il conviendrait d’inscrire dans la loi « l’interdiction pour les assureurs de garantir, couvrir ou d’indemniser la rançon et se porter davantage vers la prévention, l’accompagnement et l’assurance des conséquences pour une entreprise ».

Alors que 14 % des entreprises françaises ont déjà fait l’objet d’une cyber-attaque avec une demande de rançon, près de deux sur trois admettent l’avoir payée. « Ce qui fait de la France l’un des pays qui paye le plus au monde ces demandes de rançons », pointe la députée.
 

Suivez Maire info sur Twitter : @Maireinfo2