Jean-Noël de Galzin ( Hexatrust et Wallix) "Le projet de loi sur le versement des rançons aux cybercriminels est à retravailler"

Le gouvernement compte présenter un projet de loi qui autorise les assureurs à rembourser les rançons versées à des cybercriminels. Entretien avec Jean-Noël de Galzin, président d'Hexatrust et de Wallix et organisateur des Universités d'été de la cybersécurité.

JDN. Comment l'écosystème français de la cybersécurité perçoit-il ce projet de loi du gouvernement ? 

Jean-Noël de Galzin, président d'Hexatrust et de Wallix © Peter Allan-Wallix

Jean-Noël de Galzin. Ce brouillon vient de l'administration, il n'a pas encore été saisi par le ministère ou l'Elysée. Par conséquent, le projet peut ne pas passer. Et il est urgent d'attendre et de le retravailler. C'est bien sûr positif de mettre sur la table le sujet de la cyber-assurance, néanmoins ce brouillon est perçu négativement par l'écosystème français de la cybersécurité. Chez Wallix et Hexatrust et l'ensemble de l'écosystème cyber, nous sommes pour une cyber-assurance pour les plus fragiles. Les petites et moyennes entreprises, les hôpitaux, les ports et les entreprises de taille intermédiaire. Nous ne devons pas donner l'argent aux assaillants mais au contraire l'utiliser pour aider ces utilisateurs vulnérables. Ils ont besoin de moyens supplémentaires, pour pouvoir suivre le rythme et ne pas se retrouver à la merci des hackers. Ces moyens supplémentaires sont du matériel et des logiciels, mais surtout des bras. Le secteur de la cybersécurité doit combler 200 000 postes vacants rien qu'en France. On parle d'ingénieurs, d'analystes, de développeurs dont l'absence se fait cruellement sentir sur le terrain.

Par ailleurs, nous avons remis, lors des universités d'été de la cybersécurité, un cahier de doléances à monsieur Jean-Noël Barrot, ministre du Numérique. Le ressenti que nous avons pour le moment est le suivant : c'est comme si en plein Covid, on avait rédigé un projet de loi concernant la pandémie mais sans consulter les personnels de santé. Car là c'est le cas, le groupe de travail qui a rédigé ce projet ne comprend aucun professionnel de la cybersécurité. Je me demande bien dans quelle mesure les assureurs et d'autres personnes étrangères au secteur de la cybersécurité peuvent prendre des décisions seuls. Les professionnels doivent être partie prenante lors des prochaines délibérations sur ce projet de loi.

Est-ce qu'avec ce projet le gouvernement ne cherche pas à forcer la main à certains assureurs qui jusqu'à présent refusaient de couvrir leurs clients victimes de ransomware comme le font Axa et Generali ?

Je comprends que les assureurs veulent encadrer le paiement pour être dédouanés de tout encouragement aux cybercrimes. Ils ne veulent pas être tenus responsables pour le paiement des rançons. Et c'est ce que fait le gouvernement avec ce projet de loi. Mais pour nous, c'est niet au paiement des rançons dans la loi. Nous n'avons jamais eu autant d'attaques par seconde et la cybercriminalité va doubler d'ici 2025.

De plus, avec ce brouillon de loi, un autre problème va apparaitre : on va avoir ceux qui vont être éligibles au dédommagement car ils sauront sur quels levier appuyer, et puis on aura ceux qui ne pourront pas. Car ils ne sauront pas comment déposer la plainte, quels documents apporter au dossier etc… On revient à notre mantra qui est la protection des plus faibles et ces derniers ne le seront pas si ce projet de loi n'est pas révisé.

Le gouvernement espère aussi via ce projet de loi pouvoir remonter jusqu'au cybercriminels et potentiellement leur passer les menottes grâce aux données des plaintes. Trouvez vous cela réaliste ?

C'est tout à fait hypothétique. On se base sur quelques rares exemples dans lesquels on a pu remonter via le paiement jusqu'aux pirates. Pour quelques cas réussis combien d'échecs ? Si on veut collecter des données et les utiliser pour améliorer la sécurité du réseau et des systèmes, faisons le mais alors n'attendons pas d'être mis au pied du mur pour le faire !

Cette question de la collecte des données nous l'avons déjà abordée avec le gouvernement. Nous, acteurs de la cybersécurité, sommes allés à Bercy pour exposer ce que nous pourrions faire pour collecter plus de données des utilisateurs. Mais vraisemblablement nous n'avons pas été entendus...