Après le député de la Vendée Phillipe Latombe il y a quelques semaines, la députée LREM de la Loire Valéria Faure-Muntian a accordé à son tour un entretien à Digitemis. Autrice d’un rapport sur la cyberassurance (octobre 2021), Valéria Faure-Muntian revient sur la problématique de structuration du marché de la cyberassurance en France, sur le projet de loi du ministère de l’Intérieur – qui ne prévoit pas l’interdiction du paiement des rançons – et sur l’importance de la relation tripartite assureur/entreprise/expert cyber en matière de cybersécurité. N’ayant pas l’intention de briguer un second mandat de députée en juin prochain, Valéria Faure-Muntian entend désormais mener son combat au niveau européen.
Valéria Faure-Muntian (députée de la Loire) : « L’État doit mettre en place les mécanismes d’auto-régulation du marché de la cyberassurance »
Les questions posées à Valéria Faure-Muntian, députée de la Loire et présidente du groupe d’études Assurances de l’Assemblée Nationale :
12. Finalement, l’Europe n’est-elle pas la solution pour structurer le marché de la cyberassurance ?
1. Le projet de loi d’orientation et de programmation du ministère de l’Intérieur (2022-2027) ne prévoit pas la mise en place d’un dépôt de plainte préalable ni l’interdiction formelle du paiement de rançons. Comment peut-on l’expliquer ? N’est-ce pas un coup dur porté à la structuration du marché de la cyber assurance en France ?
Valéria Faure-Muntian : « Effectivement, le dépôt de plainte préalable à l’activation des garanties de cyberassurance était selon moi indispensable dans ce projet de loi. C’est d’ailleurs ce que j’avais recommandé dans mon rapport sur la cyberassurance et c’est ce qui est stipulé dans le livre blanc de la sécurité intérieure, document qui est a priori à la base de ce projet. Or, ce n’est pas formalisé dans le texte du ministère de l’Intérieur. De plus, il n’y a pas d’interdiction de paiement des rançons. Bien au contraire : le fait d’imposer un signalement dans les 48 heures qui suivent le paiement d’une rançon constitue une caution de leur prise en charge et ce n’est pas souhaitable. Je milite pour l’interdiction pure et simple de la prise en charge de la rançon au niveau européen mais pas forcément au niveau français : des décisions aussi fortes prises au niveau national risqueraient de déséquilibrer la concurrence sur le marché européen. »
2. Le projet de loi du ministère de l’Intérieur propose notamment de former et de créer 1500 cyberpatrouilleurs dans le but de « repérer et punir les crimes et délits en ligne ». Est-ce suffisant pour parer aux cyberattaques massives que les entreprises connaissent actuellement ?
Valéria Faure-Muntian : « Le seul moyen de parer aux cyberattaques est de faire de la prévention. Il faut mettre en place les process, les produits, les formations nécessaires pour que les entreprises et l’économie dans son ensemble soient résilientes. Nous devons impérativement réduire le nombre de cyberattaques qui passent entre les mailles du filet et qui atteignent leur objectif.
Il faut un déploiement – et c’est déjà en cours avec le ComCyber – de professionnels sur l’ensemble des régions pour intervenir immédiatement et pour relever des éléments criminels : une cyberattaque reste une scène de crime même si elle est virtuelle. Ces professionnels doivent intervenir immédiatement afin d’éviter notamment la destruction de preuves. Et dans ce cadre, le dépôt de plainte serait l’un des moyens de s’assurer que le relevé de preuves est réalisé. En complément, nous devons développer la formation des magistrats et augmenter les moyens du Parquet national Cyber.
C’est en mettant l’accent sur l’ensemble de ces sujets et sur les moyens déployés à destination des entreprises que nous atteindrons une bonne efficacité, que nous ferons évoluer notre cyber-résilience, notre production, notre assurabilité et notre cyberassurance. Mais cela passe impérativement par la coopération entres les assureurs et l’industrie cyber afin, d’une part, de fixer des critères souverains d’évaluation, d’audit ou de scoring et, d’autre part, d’établir les recommandations ou mesures nécessaires pour éviter les cyberattaques. »
Extraits de la conclusion du rapport Faure-Muntian:
« Les grands groupes se sont assurément saisis du risque cyber, en termes de prévention des entreprises de tailles plus modestes, des collectivités territoriales et des administrations, celle-ci est encore parcellaire et discontinue. Prévention, acculturation et formation sont des étapes nécessaires, en sus de la souscription à une assurance cyber, pour se prévenir des cyber-attaques et de ses conséquences financières, juridiques et réputationnelles pour toute organisation.
(…)
L’industrie de l’assurance s’impose comme le vecteur indispensable de la prévention à destination des entités publiques comme privées, afin que l’ensemble gagne en résilience face à la cyber-menace.
(…)
C’est tout un écosystème de la cyber-assurance qu’il convient d’encourager en rapprochant les assurances des entreprises de cybersécurité et ce, avec le concours de l’État. En réalité, la cyber-assurance doit être partie prenante de la stratégie française de la cybersécurité annoncée par le Président de la République Emmanuel Macron, comme du volet transition numérique du plan France Relance. »
3. L’entreprise est la grande absente du projet de loi du ministère de l’Intérieur. Seule une mention encourage à « sensibiliser 100% des entreprises aux risques de la cybercriminalité ». L’axe « Prévention et accompagnement », central dans votre rapport, n’apparaît pas dans ce texte. Le législateur ne se prépare-t-il pas à faire une loi incomplète ou partiellement adaptée ? Le débat au Parlement pourra-t-il corriger cette lacune ?
Valéria Faure-Muntian : « La sensibilisation des entreprises voulue par ce projet de loi est un vœu pieu. Le législateur va subir ce texte car c’est un projet de loi qui émane du gouvernement. Pour compléter un texte et ne pas tomber dans le cavalier législatif, il faut qu’il y ait des attaches ou des accroches qui permettent d’amender et d’enrichir le texte. Or, ce n’est pas le cas en l’espèce. De plus, il a été décidé de présenter ce projet de loi en procédure accélérée : en conséquence, le débat sera moins riche et plus succint. Je suis donc très peu optimiste quant à la capacité du législateur à apporter des éléments constructifs supplémentaires. »
4. En cas de réélection d’Emmanuel Macron à l’Élysée et de reconduction d’une majorité LREM/MoDem à l’Assemblée Nationale, quelle sera votre stratégie pour développer la cybersécurité et la cyberassurance en France ?
Valéria Faure-Muntian : « J’ai décidé pour ma part de ne pas briguer un second mandat. Je ne ferai donc pas partie de la prochaine législature à l’Assemblée Nationale pour travailler sur les dossiers de la cybersécurité et de la cyberassurance. Emmanuel Macron, dans son programme présidentiel, semble avoir saisi l’importance de la cyber-résilience et de ces sujets. J’attends de voir les mises en œuvre complètes et détaillées ainsi que les moyens déployés pour améliorer la résilience cyber au niveau national. »
5. Quelle doit être la place de l’État dans la structuration du marché de la cyberassurance ?
Valéria Faure-Muntian : « L’État doit mettre en place les mécanismes qui permettront au marché de s’auto-réguler. D’où l’importance par exemple de la coopération entre l’industrie cyber et celle de l’assurance : la mise en place de règles et de recommandations opportunes à destination des entreprises est de nature à renforcer leur résilience. L’objectif est de rendre ces entreprises assurables aux yeux des assureurs.
En revanche, la mise en place d’un nombre d’obligations dans une industrie numérique en constante évolution – comme celle de la cyber – aurait pour effet de brider l’innovation. Cela serait également contre-productif car les obligations sont perçues et subies comme un impôt supplémentaire. Nous le voyons avec le RGPD : les résultats restent médiocres.
Il faut donner les outils au marché pour qu’il y trouve son intérêt et qu’il fonctionne. Nous pouvons intervenir, par exemple, dans la structuration du marché des capacités et dans la coopération entre les différentes industries : l’État jouerait alors le rôle de facilitateur. Il est légitime que ces critères de cyber protection et d’évaluation, qui facilitent l’auto-régulation du marché, soient inscrits dans la loi. L’État doit encourager et accompagner la création d’agences de notation du risque cyber des entreprises. Il doit garantir leur souveraineté plutôt que de subir la notation des agences américaines. »
6. Dans ce contexte, le cyberscore n’apparaît-il pas comme un moyen efficace de rassurer les assureurs ?
Valéria Faure-Muntian : « Le cyberscore est un bon début mais ce dispositif n’est pas suffisamment complet pour que les assureurs puissent connaître parfaitement leur exposition aux risques lorsqu’ils assurent une entreprise. Le cyberscore a donc besoin d’être complété ».
7. Concrètement, comment les experts cyber pourraient-ils intervenir auprès des entreprises et des assureurs pour accompagner et prévenir ?
Valéria Faure-Muntian : « Si un assureur doit assurer une entreprise et qu’il ne dispose pas de la compétence cyber, il fera appel à un expert labellisé par l’ANSSI avec qui il a l’habitude de travailler. À travers cette expertise, l’assureur prendra la dimension du risque représenté par cette entreprise. Il sera plus facile ensuite d’initier une collaboration tripartite assureur/entreprise/expert cyber : plutôt de se contenter d’un questionnaire une fois par an ou lors de la souscription, l’expert cyber mettra en place les capteurs permettant de monitorer au quotidien le risque cyber de l’entreprise. L’assureur aura la possibilité de réajuster le contrat et les garanties en fonction de l’évolution de la cyber-résilience de l’entreprise, de sa capacité à faire face à une attaque réelle ou potentielle. L’expert cyber interviendra tout au long de la vie du contrat d’assurance pour une prise en charge à 360° de l’entreprise sur les aspects sécurité, assurabilité et indemnité (le jour où le risque cyber se réalisera). »
8. Dans votre rapport, vous évoquez la constitution d’un pôle dédié aux opérations de cyberdéfense économique. Quels seraient les composantes de ce pôle ?
Valéria Faure-Muntian : « Ce pôle doit permettre de mener des contre-offensives cyber civiles. Aujourd’hui, sur le plan militaire, nous sommes équipés. Mais, du point de vue civil, il n’est pas possible aujourd’hui pour une entreprise de réaliser un AdBack. Nous devons accompagner et encadrer cette démarche, éventuellement par la police en liaison avec les services de renseignement : n’oublions pas que, d’une part, nous sommes confrontés à un type de criminalité et, d’autre part, que la cyber est un outil d’espionnage industriel et un moyen de déstabilisation de la concurrence. Il est primordial que nous puissions saisir toutes les données concernant le criminel pour le poursuivre et l’identifier. Et in fine pour qu’il ne revienne pas opérer sur notre territoire. Cela nécessite la structuration d’un cadre très strict garantissant aux entreprises d’être protégées ou de disposer d’une forme de protection auprès des services de police. »
9. Dans son interview récente pour Digitemis, le député MoDem de Vendée Philippe Latombe jugeait insuffisant le niveau de protection des TPE/PME/ETI françaises face au risque de cyberattaques. Partagez-vous ce constat ?
Valéria Faure-Muntian : « Aujourd’hui, la protection des entreprises du ventre-mou de l’économie française (PME, TPE et ETI notamment) est défaillante. Le rapport Lucy d’AMRAE indique que seulement 8% des ETI, 1% des collectivités territoriales et 0,06% des PME sont couvertes contre le risque cyber. Cela prouve bien qu’elles ne sont pas au niveau en matière de cyberassurance. De plus, le rapport Lucy montre que les entreprises qui sont assurées le sont mal : leur couverture n’est pas en adéquation avec leurs besoins réels. »
10. Comment convaincre l’ensemble des entreprises et des collectivités de se cyberassurer mais également de se cybersécuriser ?
Valéria Faure-Muntian : « La logique de mon rapport est de dire que l’assureur est le tiers de confiance par définition. Tout le monde passe par l’assurance pour créer et pour entreprendre. Son rôle est incontournable. Il revient à l’assureur d’être prescripteur de la prévention dans le cadre de ses propres besoins de connaissance client. Si l’assureur ne veut pas prendre trop de risques avec son client ou prendre un risque maîtrisé, il doit lui imposer une grille de prévention comme pour le risque incendie. Nous sommes exactement dans la même logique vis-à-vis du risque cyber : le but est que l’assureur soit préventeur en collaboration avec l’industrie de la cyber. »
11. Le danger n’est-il pas de créer finalement un système à 2 vitesses : les entreprises les plus riches pouvant se prémunir contre le risque cyber et les autres ?
Valéria Faure-Muntian : « La réalité est pire encore. Aujourd’hui, même les entreprises du CAC 40 ne sont pas assurées à 100%. Cependant, elles peuvent se permettre d’être cyberassurées car elles disposent des moyens pour être assurables et mettent en œuvre des politiques de cybersécurité.
Il y a de très fortes chances que l’assureur refuse d’assurer une ETI ou une PME ou lui fasse remplir un questionnaire, qui confirmera le caractère inassurable de cette entreprise. Je souhaite que l’assureur assure cette entreprise malgré tout et qu’il fasse établir un scoring open source par l’expert cyber (il n’est pas utile de réaliser un audit détaillé pour une structure de petite taille).
L’expert cyber communiquera le score obtenu à l’assureur et au potentiel souscripteur, ainsi qu’une démarche pour l’améliorer. Dans un second temps, l’entreprise pourra choisir d’appliquer les préconisations de l’expert cyber, c’est-à-dire de mettre œuvre les moyens de se faire assurer. Dans le cas contraire, c’est-à-dire si l’entreprise refuse d’appliquer les préconisations de l’expert, elle en assumera les risques en connaissance de cause. Et, en cas de cyberattaque, ses salariés, ses fournisseurs, ses clients et ses actionnaires pourront s’appuyer sur le scoring réalisé et pointer la faute de gestion du chef d’entreprise, qui n’aura pas mis en œuvre les préconisations de l’expert. En définitive, le chef d’entreprise aura tout intérêt à suivre les recommandations de l’expert dans le but de se faire cyberassurer. »
12. Finalement, l’Europe n’est-elle pas la solution pour structurer le marché de la cyberassurance ?
Valéria Faure-Muntian : « Il est certain que l’Europe est la solution à la structuration du marché de la cyberassurance. J’ai d’ailleurs commencé à promouvoir mon rapport auprès du cabinet d’Ursula von der Leyen, de l’administration de la Commission européenne, de l’ENISA – le régulateur européen de la cyber – et bientôt auprès de l’EIOPA, le régulateur de l’assurance. Je souhaite les convaincre que la méthode tout-en-un constitue la meilleure façon d’atteindre un niveau de résilience élevé. Ce que j’attends des institutions européennes, c’est d’abord la détermination des critères de scoring et d’audit souverains et, ensuite, qu’elles donnent la possibilité de créer des agences de notation en Europe ou en facilitent la création. Et enfin, je souhaite qu’elles régulent le marché des capacités car, depuis le Brexit, nous avons perdu beaucoup en efficacité. »
13. Le projet de loi du ministère de l’Intérieur a-t-il pesé sur votre décision de ne pas vous représenter aux prochaines élections législatives ?
Valéria Faure-Muntian : « Non, ce projet de loi est arrivé bien après la prise de ma décision. En revanche, ce projet ne semble pas avoir pris en compte l’ensemble des avis des écosystèmes cyber et assurances, ce qui est regrettable. Aussi, j’aurais aimé être consultée et que mon rapport influence davantage les choix du gouvernement en la matière. Malgré le choix de la procédure accélérée, le Parlement devra amender le texte qui lui sera soumis pour le parfaire, et j’espère en ce sens que les solutions que je propose pourront nourrir la réflexion de la future majorité. J’en serais honorée. »
Je partage
Derniers articles
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?
Angular, N’Tier et HttpOnly
Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?