Le Sénat a validé la disposition qui permettra bientôt aux victimes de ransomwares de se faire indemniser pour la rançon payée aux pirates informatiques.
Comprenez : « on va encore augmenter les impôts pour créer une nouvelle assurance. »
Encore un appel d’air pour tous les truands professionnels qui viendront pleurer et se poser en victime pour en profiter.
Comme disait Coluche : « rigolez pas : c’est avec votre pognon »
4 « J'aime »
Non, absolument pas. Il s’agit simplement d’autoriser (ou même plus précisément, d’encadrer les conditions, car fondamentalement, de telles assurances peuvent déjà être proposées) les assureurs à proposer ce type d’assurance, il n’est absolument pas question de créer une assurance publique, ni même une assurance privée obligatoire.
3 « J'aime »
Assurer ce genre de pratique c’est completement con je trouve.
Si tu laisses ta porte ouverte et que tu te fais cambrioler, tu es couvert ?
Avec mon assurance, oui, ils ne demande pas de preuves d’effraction. Parce qu’ils considèrent qu’un humain, ça peut faire des erreurs, et par exemple oublier de fermer en partant de chez soi (bon par contre ils me diminuent tout de même l’indemnisation de 30% dans ce cas).
Pour les ransomware, c’est pareil, même si une entreprise prend énormément de précautions, on n’est jamais totalement à l’abri.
Et puis rien ne dit que les assureurs ne vont pas exiger tout de même un minimum de précautions hein, avec validation par des audits de sécurité réguliers.
2 « J'aime »
Sérieusement, quelle idée absurde.
C’est effectivement invité les hackers à s’attaquer aux entreprises françaises de dire « bah tant pis il y a l’assurance ». Sans parler du fait que les paiments étant souvent en bitcoin et co par définition bien moins traçable ca ouvre rapidement la porte à des complicités pour récupérer de l’argent via l’assurance.
Et quand il y a une « vraie » rançon pour un kidnapping la consigne c’est bien de ne jamais payer non ? C’est ici la même chose, le vrai point c’est que l’entreprise doit être protégée, il y a des tas de protection qui existe, et surtout de la formation pour éviter ce genre de piège.
1 « J'aime »
Je serais curieux de savoir quelle assureur fait ça, dans mon cas c’est clairement le premier motif d’exclusion de toute garantie. les 30% s’appliquent dans bien d’autres cas, par exemple effraction par une fenêtre non protégée (pas de grille/ vollet, …)
Ca me parait vraiment étonnant qu’un assureur couvre même à 70% le fait de partir sans verrouiller sa porte.
Bientôt des fraudes à l’assurance
Crédit Agricole
Dans mon contrat, ils indiquent : « si un sinistre survient ou est aggravé du fait de l’inobservation des mesures de prévention, vous conserverez à votre charge 30 % du montant de l’indemnité. »
Et le fait de fermer à clé quand on part de chez soi, ça fait bien partie de ce qui est listé dans les mesures de prévention du contrat : « Fermer et verrouiller vos portes à clé, fermer vos fenêtres et ouvertures pour toute absence ».
Jamais eu à y faire appel, mais j’ai une connaissance qui a dû le faire avec une autre assurance (MAIF de mémoire, mais sans certitude, et en jetant un oeil à leur conditions actuellement ils disent « vol par effraction, violence ou ruse »), là aussi sans aucune trace d’effraction, ils ont jamais su si les voleurs étaient entrés par la porte en crochetant la serrure ou par le balcon, au 4ème étage, où ils avaient laissé la porte fenêtre ouverte. Et c’est passé.
Alors bien sûr, celui qui part sans fermer, il a une part de responsabilité. Mais une inattention, ça arrive, on est humain… Et regarde les contrats auto, hors contrats au tiers, là aussi on t’indemnise même si tu es clairement responsable…
Et si ces contrats couvrant les ransomware sont justement aussi l’occasion de sensibiliser les entreprises au risques, voire que leur assurance leur impose des procédures de sécurité, c’est vraiment pas un mal, vu le nombre de petites entreprises qui n’ont tout simplement ni les connaissances ni les compétences pour se protéger seules contre ça. Il y a des chances que ça se passe comme ça, parce que les assurances vont forcément vouloir minimiser les risques…
EDIT : tiens maintenant que j’y pense, je me suis bien fait rembourser une fois un vol sans effraction, mais c’était avec mon assurance pro pour un vol dans ma boîte à lettres. Un client m’avait envoyé du matériel, La Poste l’avait déposé dans la boîte, mais boîte vide quand je suis allé le chercher… Ça a pas été facile facile, parce qu’au début l’assurance affirmait que c’était à l’assurance du client de prendre en charge, et inversement l’assurance du client disait que c’était à la mienne, mais ça a fini par se régler et mon assurance a fini par payer. C’était avec Hiscox.
Pour les entreprises, l’assurance sur la rançon est une chose, mais l’assurance sur les conséquences de l’attaque ?
Ben voui … Quid des pertes de productivité, du paiement des salaires (avec un SI sur le flanc), etc … ?
Cette histoire de délai, c’est encore un truc conçu par rapport à un cas particulier qui va venir emmerder tout le monde.
Je vois bien le topo, ça va finir par une cotisation imposée par les assureurs quel que soit le type de contrat souscrit, comme la « cotisation attentat » que je paye chaque année que je le veuille ou non (dont on se garde par ailleurs bien de me parler quand il s’agit d’établir un devis). Une manne pour les assureurs, au vu du faible risque encouru.
C’est l’Etat français qui l’a imposé, pas un choix des assureurs
Sauf que non justement la cotisation attentat c’est pas imposé par les assureurs, c’est imposé par la loi. Et il n’est absolument pas question que la loi impose une cotisation ransomware, pas plus qu’elle n’impose une cotisation vol ou une cotisation incendie, ou tout autre risque couvert par les assurances.
Et cette cotisation attentat, elle existe justement parce que les assurances ne prennent PAS en charge les dommages corporels provenant d’un attentat ou d’un crime, ce risque est couvert par une garantie d’État, le Fond de garantie des victimes du terrorisme et d’autres infractions (notamment les meurtres, viols… mais la cotisation s’appelle cotisation attentats parce qu’elle a été mise en place suite à la vague d’attentats du milieu des années 80, même si au final le gros du budget du fond ne va pas à des victimes d’attentats…).
Le fait que la loi encadre les assurances ransomware va bien dans le sens d’une gestion privée de ce risque, par les assurances, ce qui est donc à l’opposée d’une cotisation obligatoire pour une gestion publique.
Ben non, les assureurs ne touchent pas un centime de cette cotisation. Tout va au FGTI pour indemniser des victimes.
En 2020 le FGTI a versé 45M€ à des victimes de terrorisme (à raison de 300 demandes par an en moyenne depuis le milieu des années 80, 1000 par an depuis 2015) et 337M€ à des victimes d’autres infractions. Voilà où va ta cotisation attentat. Pas dans la poche des assureurs.
Et cette « manne » comme tu dis, ne suffit même pas à couvrir l’intégralité du fonctionnement des coûts du fond : en 2020 il a encaissé 706 M€ (dont 570 M€ de cotisation attentats de 82 M€ payés par les coupables des infractions indemnisées) pour 1019 M€ de charges (les 382 M€ versés dans l’année aux victimes, 37 M€ de frais de fonctionnement et près de 600 M€ provisionnés pour des versements futurs aux victimes).
Bref, renseignes-toi un minimum…
Au temps pour moi donc, j’ai été mal renseigné (et je n’ai pas vérifié). Mea culpa.