La question de l’indemnisation du paiement des rançons s’est invitée dans le projet de loi d’orientation et de programmation du ministère de l’intérieur (Lopmi), dont l’examen démarre lundi 14 novembre à l’Assemblée nationale. L’article 4 du projet, dans sa version approuvée au Sénat, prévoyait d’autoriser les assureurs à indemniser les entreprises ayant choisi de payer la rançon exigée par des cybercriminels, sous réserve d’un dépôt de plainte.
Une position qui prend le contre-pied de la ligne officielle affichée jusqu’alors, puisque les autorités en matière de rançongiciel déconseillaient de payer ces rançons. Une position notamment défendue par Guillaume Poupard, directeur de l’Agence nationale de la sécurité des systèmes d’information (Anssi), et qui avait sous-tendu les recommandations de deux rapports parlementaires portant sur la question de l’assurance « cyber », au Sénat et à l’Assemblée nationale, au cours de l’année 2021. Ces prises de position publiques avaient, à l’époque, poussé certains acteurs à retirer leurs offres en attendant une clarification du cadre légal.
La rédaction de cet article a été modifiée en commission des lois, via un amendement qui élargit sa portée à l’ensemble des dommages causés par une cyberattaque, et prévoit un délai de quarante-huit heures à partir de la constatation de l’infraction. La nouvelle version du texte, qui a reçu l’approbation du rapporteur, entend répondre aux critiques qui ont fusé lors de l’examen du projet de loi au Sénat et les soupçons de lobbying du secteur de l’assurance. « Les assureurs nous ont beaucoup pressés à adopter l’article 4 dans sa rédaction initiale, ce qui n’est peut-être pas un bon signe, a, à cette occasion, rappelé le député Philippe Latombe (MoDem). Il faudra qu’ils comprennent que le lobbying ne doit pas simplement nous demander d’adopter un article sans débat. »
« Une logique qui a un effet pervers »
Cette prise de position s’est attirée de nombreuses critiques. « C’est une logique qui a un effet pervers. Si payer la rançon devient la règle, la France va devenir une cible royale pour les attaquants. Nous prenons le risque d’être considérés comme des “bons payeurs” par les cybercriminels et de voir les attaques se multiplier », résume Alain Bouillé, délégué général du Club des experts de la sécurité de l’information et du numérique (Cesin). Cette association, qui regroupe les responsables sécurité de plus de six cents entreprises françaises, a publié au mois de septembre un sondage traduisant l’opposition de ses membres à la position adoptée par le gouvernement : 82 % des 249 entreprises interrogées s’expriment ainsi contre la disposition réglementaire introduite par le gouvernement. Ils ne sont pas les seuls : lors du débat, plusieurs sénateurs ont également fait valoir des arguments similaires, fustigeant « une disposition contraire à la doctrine de l’Anssi ».
Il vous reste 61.67% de cet article à lire. La suite est réservée aux abonnés.