Les sénateurs ont validé mercredi le principe de l’assurabilité du paiement des cyber-rançons, une disposition introduite par le projet de loi d’orientation et de programmation du ministère de l’Intérieur. Mais la chambre haute a toutefois revu le projet du gouvernement en adoptant un amendement du sénateur Rémi Cardon (groupe socialiste, écologiste et républicain).
Le principe de la plainte dans les 48 heures suivant le paiement d’une rançon conditionnant un éventuel remboursement par une assurance cyber est en effet remplacé par l’obligation d’un signalement « dans les 24 heures suivant l’attaque et avant tout paiement ». Une nouvelle obligation qui s’inspire de l’Allemagne, où assureurs et assurés ont l’obligation d’informer les services de police en cas de demande de rançon.
« Il faut aller vite »
« Heureusement, 90 % des attaques sont rapidement signalées, ce qui facilite la récupération des données ou la négociation avec les attaquants », a remarqué Rémi Cardon. Mais, ajoutait le sénateur à l’appui de son amendement, « les heures sont comptées : il faut aller vite pour informer les autorités ».
S’il a donné un avis favorable à cette réécriture, le ministre de l’Intérieur a aussi signalé son scepticisme. « Mettez vous à la place du boulanger : il paie pour éviter la catastrophe et oublie de porter plainte immédiatement », a averti Gérald Darmanin. Et d’appeler à trouver la bonne mesure entre un dépôt de plainte au plus vite et la situation des petites et moyennes entreprises.
Changements en vue
Il faut donc s’attendre à de nouveaux changements dans la rédaction de la disposition au cours de la navette parlementaire. Après le Sénat, où cinq amendements de suppression avaient été déposés, la mesure, décriée par les professionnels de la sécurité informatique, devrait à nouveau être contestée par des députés.
« Le mécanisme proposé risque d’être contre-productif, avait ainsi déploré le sénateur Guy Benarroche (groupe écologiste, solidarité et territoires). Le fait d’être assuré risque d’inciter l’établissement attaqué à payer la rançon, et donc d’inciter les pirates à poursuivre leur activité. »
« Aucune disposition n’interdit actuellement de s’assurer contre le risque de paiement d’une rançon », avait alors rétorqué le sénateur (LR) Marc-Philippe Daubresse. « C’est bien parce que cette couverture est déjà possible que le ministre souhaite éviter que des entreprises paient des rançons sans qu’on le sache et s’abstiennent de déposer une plainte qui donnerait le moyen de lutter contre ce fléau. »
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));