Les députés de la commission des Lois de l’Assemblée nationale viennent de réécrire de manière plus consensuelle l’article 4 du projet de loi d’orientation et de programmation du ministère de l’Intérieur, qui conditionnait au départ l’assurabilité d’une cyber-rançon à un dépôt de plainte après un paiement à des cybercriminels.
Controverse sur la mention des cyber-rançons
Après le Sénat, qui avait déjà repris l’article, la commission des Lois du Palais-Bourbon, a réécrit la disposition pour ne plus citer explicitement le remboursement du paiement d’une rançon, le point qui suscitait la controverse. Alors que les pouvoirs publics préconisent de ne jamais payer de rançons, “parler de cyber-rançons, c’était la pire chose à faire”, a ainsi résumé le député Philippe Latombe (Démocrate) lors de l’examen du texte par la commission, ce mercredi 2 novembre.
La nouvelle rédaction de l’article, proposée dans trois amendements similaires par les députés Anne Le Hénanff (Horizons), Philippe Latombe et Mounir Belhamiti (Renaissance), a élargi le périmètre du texte à tous les dommages causés par une cyberattaque. Et donc plus “uniquement au [seul] remboursement des rançons”, comme le précise l’exposé des motifs des amendements. Reste que si la question polémique du remboursement du paiement d’une rançon n’est plus évoquée explicitement, elle semble donc toujours couverte.
Plainte à déposer après la découvert de l’attaque
“En ne visant plus simplement les rançongiciels mais l’ensemble des cyberattaques, on peut imaginer que l’assurance prenne en charge les coûts de remédiation, des garanties sur la perte d’exploitation, et pas simplement sur le coût du paiement de la rançon”, a ainsi appuyé le rapporteur du texte pour la commission des Lois, le député Florent Boudié (Renaissance). Des prestations qui semblent pourtant déjà offertes par les entreprises de l’assurance. Ces dernières souhaitaient en effet avant tout une clarification de l’assurabilité du remboursement d’une rançon.
Moins polémique, l’autre changement dans la rédaction du texte est ainsi peut-être plus significatif. L’indemnisation des dommages est désormais conditionnée à une plainte et non une pré-plainte, à déposer dans les 48h après la découverte de l’attaque informatique, et non plus après la simple mention d’une attaque. “Ce qui compte, c’est quand la victime a constaté l’attaque”, observe le député Florent Boudié. Le projet de loi doit désormais être étudié en séance publique à partir du 15 novembre.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));