Sur le paiement par les assureurs des rançons réclamées par des pirates informatiques, le gouvernement persiste et signe : dans un communiqué diffusé mercredi 7 septembre au matin, le ministère de l’économie confirme que la mesure autorisant le paiement des rançons par les entreprises victimes de piratage informatique reste à l’ordre du jour du projet de loi d’orientation et de programmation du ministère de l’intérieur.
Ce texte, initialement présenté au mois de mars, avant l’élection présidentielle, a été inscrit mercredi au conseil des ministres dans une version allégée, comptant quinze articles contre la trentaine prévue. Dans le même temps, le ministère de l’économie et des finances publie un rapport portant sur « le développement de l’assurance du risque cyber ».
Le texte de loi prévoit l’autorisation du paiement des rançons par les assureurs, tout en conditionnant celle-ci « au dépôt de plainte de la victime afin de renforcer son accompagnement et améliorer les opérations d’investigation des autorités de police, justice et gendarmerie ».
Le rapport ébauche également un plan d’action destiné à accompagner le développement de l’assurance cyber en France, qui ne représente aujourd’hui que « 3 % des cotisations en assurance dommage des professionnels ». Bercy annonce ainsi la mise en place d’une task force consacrée à l’assurance du risque cyber à partir du mois de septembre. Celle-ci sera chargée de mettre en œuvre les orientations détaillées dans le cadre du plan d’action gouvernemental visant à soutenir le développement de l’assurance cyber.
Clarification nécessaire
Le paiement des rançons exigées par les cybercriminels n’a jamais été illégal en France, mais cette solution restait officiellement déconseillée par les autorités. Au mois d’avril 2021, le directeur de l’Agence nationale de sécurité des systèmes d’information (Anssi), Guillaume Poupard, avait ainsi dénoncé lors d’une audition au Sénat le rôle des assureurs dans le paiement des rançons, expliquant que ceux-ci « garantissent trop souvent le paiement des sommes exigées par les cybercriminels ». Un constat amer, alors que l’agence défendait publiquement le fait de ne pas payer les rançons.
En outre, un rapport parlementaire publié au mois d’octobre 2021 plaidait pour l’interdiction du paiement des rançons. Il était principalement reproché aux assureurs qui endossaient le paiement de rançons de faire des sociétés françaises ayant souscrit à leurs polices d’assurance des cibles « faciles ».
Après les interrogations soulevées par le dirigeant de l’Anssi, plusieurs compagnies d’assurances avaient annoncé en début d’année 2021 la suspension de leurs offres proposant de couvrir le paiement des rançons, tout en réclamant une clarification des règles en vigueur. Le ministère de l’intérieur avait alors annoncé la mise en place d’un groupe de travail et d’une consultation publique sur le sujet.
Favoriser le marché
La clarification du cadre légal porté par le projet de loi vise à encourager le développement et la diversification des compagnies proposant des assurances cyber. Celles-ci ont connu une forte croissance au cours des dernières années, alors que de nombreuses entreprises et organisations sont visées par des attaques de type rançongiciel (ou ransomware, en anglais). Le rapport de Bercy relève que le marché de l’assurance cyber français reste « un marché de niche » face à son équivalent outre-Atlantique, mais que celui-ci fait preuve d’une croissance de « plus de 52 % des cotisations en 2021 ». Les souscripteurs français de ce type de garanties restent principalement les grandes entreprises (84 % d’entre elles disposent d’un tel contrat), tandis que les organisations de taille plus modestes peinent encore à adopter ces outils.
L’autre ambition du texte est de permettre une meilleure appréciation du phénomène des attaques par rançongiciels par les pouvoirs publics. Dans de nombreux cas, les forces de l’ordre estiment que le nombre de plaintes déposées est bien en dessous du chiffre réel des entreprises piratées, parce qu’elles choisissent souvent de payer la rançon sans signaler l’incident. Une estimation délicate, qui pose problème aux autorités, mais aussi aux compagnies d’assurances. Celles-ci ont besoin de données précises et fiables sur le nombre de victimes afin de pouvoir dimensionner correctement leurs offres et leurs prix.