Les professionnels de la cybersécurité sont à l’opposé de la position du Sénat sur la question de la cyber-rançon. Pour eux, faciliter le remboursement d’une rançon réclamée puis payée à une entreprise assurée n’est franchement pas une bonne idée.
Le sujet est compliqué… (oui certains payent, oui il faudrait agir avant, oui certains sont assuré pour réparer les dégâts, …)
Mais, finalement, se dire qu’on finance la criminalité « pour la bonne cause » (maintenir l’activité d’une entreprise), est-ce vraiment une bonne chose ?
Je ne crois pas.
3 « J'aime »
On s’assure bien contre le vol et l’assurance rembourse même si le vol a été commis sous la menace d’une arme. Pourquoi y aurait-il une différence avec les ransomwares ?
Au delà, pourquoi n’a t’on pas le droit de s’assurer contre n’importe quel risque ?
Pour les ransomwares, il y a bien une solution pour réduire le risque : interdire la détention de cryptomonnaies. En plus, ce serait bénéfique pour tout le monde, y compris la planète.
Ca va faire augmenter la cybercriminalité et la fraude à l’assurance.
Les assurances que tu cites remboursent les dommages subits.
Ces assurances cyber existent dejà.
Tel qu’a été établi le projet de loi pour encadrer ça, je trouve que c’est plutôt bien fait : obliger l’entreprise a déposer plainte avant versement et avant toute demande d’indemnisation à l’assurance, ça permet aux FDO d’intervenir rapidement, d’essayer de tracer la rançon si elle est payée, mais aussi de dissuader l’entreprise de la payer, ce qui sera plus facile si elle se sent accompagnée par des experts que quand elle est seule face au problème.
C’est aussi l’occasion de faire intervenir des vrais spécialistes pour constater l’ampleur des dégats et voir ce qui peut être sauvé.
Bien sûr, le revers c’est que ça peut aussi avoir un petit côté incitatif parce qu’il y aura peut-être plus de rançons payées… Mais c’est finalement un risque qu’on retrouve avec toutes les formes d’assurance contre les conséquences de délits.
3 « J'aime »
La différence c’est que dans un cas tu as une entreprise victime d’un attaquant qui est parfois contrainte de payer pour survivre.
Dans l’autre, une entreprise qui collabore avec un groupe terroriste par appât du gain (la survie du groupe Lafarge n’était absolument pas menacée).
1 « J'aime »
Interdire la détention de cryptomonnaie ne changerai strictement rien au ransomware.
Les malwares existent depuis beaucoup plus longtemps que les cryptomonnaie, le tout premier ransomware date de 1989 
Faudrait faire des formations sauvegardes et bonnes pratiques des outils informatique.
1 « J'aime »
Et pas que …
Le fait de maîtriser son outil informatique est primordial. Tout faire fonctionner avec un produit largement diffusé et bardé de trous de sécurité pour pleins de mauvaises raisons est une erreur grave.
Aujourd’hui TOUTES les entreprises fonctionnent avec une AD de Microsoft et quand on voit le nombre de failles qui sont corrigées régulièrement (la dernière fournée était pleines de 0-day), il est incroyable qu’on puisse continuer à croire que tout va bien et qu’il faut avoir confiance dans les fournisseurs.
Reprendre le contrôle de son SI est aujourd’hui une clé … avec la fin de support de Win10 en 2025, il va falloir passer à Win11 : processeur récent + tpm2 = parc à renouveler, compte AzureAD obligatoire = transfert du domaine dans Azure = disparition des AD locales. Pour les petites entreprises, cela représente une solution et des réductions de coût. Mais cela représente aussi le fait de donner sur un plateau toutes les clés de son organisation interne en terme de découpage des services et d’attribution des droits (ce qui est aujourd’hui une donnée stratégique). Mais bon, il y aura toujours un lobbyiste pour expliquer que c’est pour le bien de l’entreprise et que c’est sûr. Cette perte d’autonomie de la gestion du SI me fait froid dans le dos.
3 « J'aime »
Oui effectivement, il faut aussi rajouter qu’il y a encore trop d’entreprises qui utilisent les logiciels de sécurité tiers : avast, bitdefender et consort … de vieux os style xp et 7 … des mots de passes bien trop simple et surtout des box orange ou sfr (dnssec OFF) dont les sav sont situés au maroc, tunisie etc… où la confidentialité est quasi inexistante et les escroqueries des employés qui vendent nos données vont bon train.
Je trouve que c’est pas si simple que de dire « il faut pas le faire ».
Oui dans le meilleur des mondes, il faut pas payer, et donc pas besoin de rembourser. Mais le fait que ces voleurs ont souvent un temps d’avance sur la sécurité de beaucoup d’entreprises, parce que c’est quelque chose de complexe et couteux à mettre en place et tout le monde n’en a pas les moyens. Donc sans parler de laxisme, il est logique que certaines entreprises se fassent pirater.
Mais c’est pareil pour tout. Une entreprise qui se fait cambrioler, dans ce cas, pourquoi lui permettre d’être assurée et remboursée ? C’est la même chose, le voleur aura gagné sa vie, l’entreprise sera remboursée donc mettra moins de moyens dans sa défense, et le voleur pourra revenir…
Si on le fait dans un cas, pourquoi pas dans l’autre. L’interdire, c’est une vision d’élites et d’experts en cybersécurité qui voient un monde parfait ou tout le monde serait ultra protégé. Mais en réalité si on veut ça, il faut que la cyberprotection soit gratuite et accessible à tous
Il y a quand même une constante avec le gouvernement dès lors qu’il y a une escroquerie :
- il en fait la promotion
- il met en place un protocole pour la favoriser
- il oblige la victime à se faire escroquer et fermer son clapet pour de l’argent qu’il ne verra peut être jamais
Le gouvernement est déjà composé en majorité d’escroc depuis Mitterrand (si ce n’est avant) il ne peut pas faire autre chose que favoriser la criminalité ou la fraude au nom du bien commun.
PS : les 3 quarts des ransomwares demande juste de déconnecter et d’isoler le ou les postes qui sont victimes de la cyberattaque.
il faudrait que l’assurance finance non pas les black hat, mais les white hat (donc sans menace d’atteinte à l’entreprise), avec un barème suivant le danger que représente la faille.
Les sénateur idiot qui font de la france une cible de premier choix pour les hacker de tout horizons, si ce texte est appliqué on risque de devenir l’un des pays les plus attaqué au monde, sans parler des effet pervers des couverture sur la mise en place de protection digne de ce nom.
Les experts ont raison.
En aucun cas les assurances ne doivent êtres autorisées à financer des rançons. D’une manière évidente, cela aggraverait le problème en renforçant l’industrie criminelle.
Une meilleure idée serait que les assurances puissent indemniser les conséquences financières d’une perte de données, mais à la condition légale que la rançon ne soit jamais payée.
Mais d’une manière évidente, il faudrait aller plus loin et rendre le payement d’une rançon totalement illégale et passible de prison.
Car outre le fait d’alimenter l’industrie du crime, cela peut devenir un moyen de fraude fiscale, d’abus de bien sociaux ou de détournement de fonds publics.
Je pense qu’il ne faudra pas longtemps pour que des intermédiaires peu scrupuleux ne proposent à des entrepreneurs, voir des responsables d’administrations des services pour détourner des fonds et alimenter des comptes dans les paradis fiscaux.
2 « J'aime »
Ce qui serait marrant c’est que la liste des assurés fuite sur le net.
On verrait alors une armée de hacker s acharner sur eux pour récupérer l argent de l’assurance 
Après les assurances ne sont pas folles, elles vont mettre plein de clauses pour ne pas rembourser :
- un audit de sécurité 1 fois par an (ce qui serait d’ailleurs une bonne chose)
- s’il s’agit d’une erreur humaine, type lien dans un email, c’est pour ta pomme
- …
1 « J'aime »
ça existe déjà pour les cartes bancaires, ça s’appelle le PCI-DSS / PA-DSS
C’est surtout que les sujets de sécurité sont traités une fois que les systèmes sont mis en production.
Après pour faire bouger les conservateurs de service, c’est juste la misère.
A vrai dire, les pires ennemis des SI d’entreprise sont les exploitants / utilisateurs de ces SI en raison de cette incontournable résistance au changement. Plus ça résiste, plus les conséquences sont importantes. Attention, je n’ai pas dit que les cyber-attaquants sont des enfants de chœur. Mais bon, il est plus facile de gérer les équipes du SI et les utilisateurs que les cyber-attaquants de passage.
(c’est devant le mur qu’on voit mieux le mur)
Je suis super étonné de ce genre de proposition, elle va à l’encontre de toute logique, pourquoi ne pas plutôt aider les entreprises à mieux se protéger ?
Quitte à dépenser de l’argent leur proposer des audits gratuits sur l’état de sécurité des entreprises, et/ou proposer des solutions de financement ou d’aides ou que sais-je encore mais il faut être proactif et mieux protéger les entreprises former les salariés et non financer la cybercriminalité…
Au pire selon le cas de l’entreprise qui a été attaquée qu’on aide à la remettre sur pied pour ne pas qu’elle ne mette la clé sous la porte mais en aucun cas payer surtout pas, ça devrait même être interdit.
Il faut proposer aux entreprises de les aider surtout les petites et moyennes entreprises qui n’ont pas les moyens techniques et ou économiques de se mettre au top de la sécurité
1 « J'aime »