C’est désormais officiel : avec la publication ce 25 janvier de la Loi d’orientation et de programmation du ministère de l’Intérieur, il faudra désormais porter plainte dans les 72 heures pour espérer être remboursé par son assureur des pertes et dommages causés par un piratage informatique.
Cette disposition, qui va entrer en vigueur dans trois mois, a fait couler beaucoup d’encre tout au long de l’examen parlementaire de ce texte. Mais pas forcément à bon escient. Comme vient de le souligner Vincent Strubel, il n’y a pourtant pas eu « d’évolution fondamentale avec ce texte ».
Cafouillage dans la com
Devant la presse, le patron du cyberpompier français a ainsi rappelé qu’il n’était pas jusqu’ici interdit de payer une rançon et qu’il n’était pas interdit à un assureur de rembourser une rançon.
Bref, rien n’aurait vraiment changé, à part l’obligation de déposer plainte si l’on veut faire jouer son assurance. « Il y a eu un cafouillage dans la communication de l’Etat », déplore le directeur général de l’Anssi, avec, regrette-t-il, de « mauvaises interprétations » dans la clarification du cadre légal existant.
Les détracteurs de la disposition estimaient que mentionner noir sur blanc le paiement d’une rançon dans un texte législatif revenait à donner l’aval de l’administration à ce genre de racket. La doctrine de l’Etat est pourtant de ne pas payer la rançon demandée par des gangs de rançongiciels.
Pas de mention spécifique de la rançon
Parmi les critiques entendues, le texte voté par le Parlement ne mentionne plus spécifiquement le paiement d’une rançon, qui est englobé désormais dans l’ensemble plus large des pertes et dommages. Un travail de réécriture qui montre que la rédaction initiale de la disposition par le gouvernement avait été bâclée.
Au final, l’affaire est assez décevante. Les députés et les sénateurs ont rarement pris autant de temps pour débattre d’une mesure législative touchant à la lutte contre la cybercriminalité. Pourtant, ses effets semblent très limités. Comme le relèvent des professionnels, la disposition ne va toucher que très peu d’organisations pour le moment, au vu du très faible taux de souscription d’une assurance cyber.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));