Après l’hôpital de Corbeil-Essonnes en août dernier, l’hôpital André-Mignot au Chesnay, dans les Yvelines, a été la cible d’une cyberattaque début décembre. Ces deux cas illustrent la recrudescence sans précédent des attaques cyber, à l’œuvre depuis plusieurs années. En 2022, en huit mois seulement, le nombre d’organisations victimes de ransomware dans le monde est déjà égal à 85 % de l’ensemble de l’année 20211.
Face à cette montée en puissance, la loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI), adoptée fin 2022, clarifie le cadre législatif du paiement des rançons en cas d’attaque par rançongiciel (ou ransomware). Elle prévoit une forte augmentation des moyens alloués à la lutte contre les cyberattaques – de leur détection précoce à leur suivi, puis aux sanctions appliquées – et précise aussi les conditions d’assurabilité du versement d’une rançon, en cas d’attaque par ransomware. Une entreprise victime d’une attaque cyber devra ainsi déposer plainte au plus tard 72 heures après avoir eu connaissance de l’atteinte. Elle pourra alors être indemnisée au titre de son contrat d’assurance pour le paiement éventuel d’une rançon, les pertes d’exploitation, les frais, etc. Toutefois, le versement d’une rançon doit toujours être envisagé en dernier recours, car il ne garantit ni la récupération de la totalité des données, ni leur intégrité.
Un champ d’application étendu
À l’échelle européenne, la directive NIS2 élargit, quant à elle, le champ des entreprises concernées par des obligations strictes en matière de cybersécurité. Elle intègrera les sous-traitants et prestataires de services ayant un accès à une infrastructure critique. Les entités dites essentielles (EE) et importantes (EI), dont la différenciation se fera par leur secteur d’activité, seront ainsi soumises à la directive NIS2.
Jusqu’ici, les directives de la NIS s’appliquaient aux opérateurs de services essentiels (OSE) et opérateurs d’importance vitale (OIV) tels que les secteurs de l’énergie, du transport, de la santé, de l’eau potable, des finances, des infrastructures numériques et des fournisseurs de services numériques. Ces secteurs essentiels seront toujours concernés par les règles de la NIS2, mais seront également ciblés les secteurs suivants : les services postaux, la gestion des déchets, les produits chimiques, le secteur alimentaire, la fabrication des dispositifs médicaux, l’électronique, les machines, les véhicules à moteur et les fournisseurs numériques.
Quand régulation rime avec prévention
De plus, au niveau national, la NIS2 prévoit d’accorder un pouvoir plus important aux autorités de régulation. Leurs interventions pourront être plus nombreuses avec la possibilité de mener des audits réguliers et ciblés. Le système de sanctions sera également renforcé en cas de non-respect de ces obligations.
Ces évolutions réglementaires contribuent à la prise de conscience du risque cyber et au déploiement de mesures de protection et de prévention plus efficaces par les entreprises françaises et européennes. En favorisant la connaissance de l’assurance cyber, elles font sortir les compagnies de la « zone grise » concernant l’assurabilité du risque cyber. Mais les entreprises doivent rehausser leur stratégie de prévention contre le risque de cyberattaque. En effet, la question n’est plus de savoir si une entreprise va être attaquée, mais quand.
La solution de Verspieren simule une atteinte par rançongiciel et évalue le niveau d’exposition de l’entreprise, afin de mettre en place les mesures préventives adaptées. L’objectif est simple : minimiser les impacts des cyberattaques et réduire le risque d’interruption des SI. Ce qui permet d’atteindre un niveau de maturité suffisant pour obtenir une offre assurantielle adaptée.
