Le gouvernement est favorable à l’indemnisation des cyber-rançons

Le projet de loi d’orientation et de programmation du ministère de l’Intérieur 2022-2027 (la Lopmi) a plus que surpris les spécialistes de l’assurance cyber. Présenté en conseil des ministres le 16 mars, il vise à répondre «aux enjeux sécuritaires et territoriaux des années à venir» et à donner «de nouveaux moyens humains, juridiques, budgétaires et matériels au ministère de l’Intérieur».

Or, parmi les mesures prises pour lutter plus efficacement contre la cybercriminalité, un article entend encadrer «les clauses de remboursement des rançongiciels par les assurances, en conditionnant ce remboursement au dépôt rapide d’une plainte par la victime, afin d’améliorer l’information des forces de sécurité et de l’autorité judiciaire et de ‘casser’ le modèle de rentabilité des cyberattaquants».

Changement de posture

Précisément, la Lopmi propose d’ajouter un chapitre au Code des assurances pour subordonner l’indemnisation de la rançon versée par une entreprise «à la justification du dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard quarante-huit heures après le paiement de cette rançon». Dans l’étude d’impact, Beauvau reconnaît pourtant que le paiement des rançons au travers de couvertures assurantielles est un moteur de la cybercriminalité. Mais, face au nécessaire recueil des données pour lutter contre les criminels, le ministère fait évoluer sa philosophie. «Si la posture des services compétents a toujours été de recommander le non-paiement des rançons, la dégradation rapide de la situation appelle à une action publique plus déterminée afin de s’assurer que, dans les cas où une rançon a été payée, les autorités compétentes disposent des informations nécessaires pour poursuivre les auteurs de l’infraction», peut-on lire dans le rapport annexé.

Entre 2016 et 2020, les services de police et de gendarmerie nationales ont enregistré entre 1.580 et 1.870 procédures en lien avec des attaques des rançongiciels. «Lorsque les montants sont renseignés (dans 16% des procédures seulement), la valeur médiane a progressé d’environ 50% par an entre 2016 et 2020, s’élevant à 6.375 euros pour cette dernière année», selon des estimation du ministère et une étude de Service statistique ministériel de la sécurité intérieure (SSMI). «La direction centrale de la police judiciaire de la police nationale comme le service central du renseignement criminel de la gendarmerie nationale estiment que la réalité du phénomène des rançongiciels est sous-estimée du fait de l’absence de plainte systématique», explique le document. Les entreprises victimes redoutent en effet que leur vulnérabilité soit connue et leur image dégradée.

Financer les cybercriminels

Les avocats spécialisés saluent plutôt la prise de position. «Que le gouvernement aille dans ce sens est plutôt une agréable surprise, dans la mesure où fixer des conditions de garantie participera au développement de l’assurance cyber, à l’image de ce qui a été fait en dommages. Il y a aussi une question de compétitivité relevée dans l’étude d’impact : nous serions le seul pays de l’OCDE à interdire le paiement des rançons et leur couverture assurantielle», décrit Paul Berger de Gallardo, avocat au barreau de Paris et spécialiste des questions d’assurance des risques cyber. Pour Eric de Barbry, avocat associé au cabinet Racine, l’essentiel se situe aussi dans les conséquences de cette décision : «Le choix est clairement fait de dépénaliser le paiement des rançons. Libérer la qualification juridique de faute sous condition du dépôt de plainte enlève la culpabilité de celui qui paye la rançon, ce qui refroidissait les assureurs alors même que de nombreuses entreprises mettraient la clé sous la porte en cas de refus d’indemnisation. Toutefois, la condition semble inutile dans la mesure où les assureurs demandent déjà à leurs clients de porter plainte.»

Pour autant, cette position est loin de faire l’unanimité. Si un rapport du Haut Comité juridique de la place financière de Paris (HCJP) estime qu’on ne peut pas interdire aux assureurs de couvrir ces risques, la députée LREM Valéria Faure-Muntian proposait au contraire de légiférer dans ce sens. Pour la présidente du groupe d’études assurances à l’Assemblée nationale : «S’il existe un flou juridique autour du paiement des rançons, adopter le projet de loi tel quel reviendrait à autoriser de facto le paiement des rançons. Je ne vois pas ce qui peut justifier une telle position. Ce n’est pas en déposant plainte qu’on arrête les cybercriminels, c’est en arrêtant de les financer.» Interrogé, le ministère de l’Intérieur rappelle que le rapport de la députée soulignait que le dépôt de plainte faisait défaut dans de nombreux cas. «Ce qui compte, c’est l’information rapide des services d’enquête pour lutter efficacement contre ceux qui rançonnent», conclut-il.

Débats

La Lopmi s’attaque à un sujet sur lequel les assureurs attendent une clarification. L’an dernier, Johanna Brousse, chargée de la section cybercriminalité du parquet de Paris, et Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes informatiques (Anssi), avaient fortement critiqué leur rôle dans le développement de la cybercriminalité avec cette garantie rançon. Axa avait ensuite annoncé mettre en suspens sa garantie cyber-rançonnage.

La direction générale du Trésor a, depuis, mis en place un groupe de travail «portant sur le développement d’une offre assurantielle de couverture des risques cyber», dont les conclusions sont attendues pour la fin du premier trimestre 2022. Le ministre de l’Intérieur précise que le projet de loi «a été réalisé en étroite collaboration avec Bercy» et qu’il «a été tenu compte de l’ensemble des travaux interministériels en cours». «Il sera intéressant de suivre les positions de chacun durant les débats parlementaires», prévient Paul Berger de Gallardo.