Oui au remboursement par son assurance des rançons demandées par les gangs de rançongiciel, mais sous réserve d’un dépôt de plainte. Le gouvernement vient de trancher sur ce sujet qui agitait le monde de l’assurance. Dans un rapport publié le 7 septembre, la direction générale du Trésor se prononce en effet pour ce nouveau cadre législatif dévoilé par Les Echos.
La mesure devrait rapidement être adoptée. Elle est déjà intégrée au nouveau projet de loi d’orientation et de programmation du ministère de l’Intérieur, présenté également ce mercredi en conseil des ministres. Cette obligation rapproche la France de l’Allemagne, où assureurs et assurés ont l’obligation d’informer les services de police en cas de demande de rançon.
Paiement pas interdit
L’indemnisation du paiement des rançons par son assureur n’était toutefois jusqu’ici pas interdite en France. Comme le rappelle la direction générale du Trésor, en l’état actuel le droit français, comme pour les autres Etats de l’OCDE, ne prohibe pas explicitement l’indemnisation des rançons payées, un versement qui doit rester le dernier recours, insistent les auteurs du rapport.
Ce qui avait poussé l’ancienne députée Valéria Faure-Muntian à demander une interdiction formelle du paiement des rançons. Mais le Haut comité juridique de la place financière de Paris, saisi par la direction générale du Trésor, avait souligné qu’une simple interdiction nationale serait juridiquement fragile, lui préférant un incertain niveau européen.
Améliorer le partage d’informations
Pour la direction générale du Trésor, le conditionnement d’une indemnisation du paiement de la rançon à un dépôt de plainte doit permettre de faciliter les investigations judiciaires. « A moyen terme, il pourrait être envisageable d’organiser un partage de données anonymisées, dans le respect du cadre de protection des données personnelles et du secret de l’enquête, vers l’Anssi afin d’affiner la connaissance de la menace cyber », suggèrent les auteurs du rapport.
La direction générale du Trésor préconise ainsi toute une série de mesures opérationnelles pour fluidifier les échanges. Bercy cite la mise en place d’un point de contact unique entre assureurs et forces de sécurité, l’élaboration d’un document standardisé pour faciliter l’envoi des informations pertinentes aux autorités et l’extension de la plateforme de signalement Thésée, destinée aux particuliers, aux professionnels.
Clarification juridique
Mais plus largement, la nouvelle mesure, l’une des 18 propositions des fonctionnaires de Bercy, vise à clarifier le cadre juridique de l’assurance du risque cyber. Ce marché est estimé à 219 millions d’euros de chiffre d’affaires en 2021 par France Assureurs, l’organisation représentative de cette profession. Les assureurs ne savaient en effet pas sur quel pied danser. Ils avaient d’ailleurs appelé en avril 2022 à une réforme sécurisant le cadre légal de l’indemnisation des rançons payées, en suggérant de la conditionner à une « collaboration étroite entre assureurs et autorités judiciaire et policière ».
Si sept compagnies d’assurances sur dix proposant une assurance cyber offrent des garanties relatives au paiement d’une rançon, Axa France avait indiqué en mai 2021 la suspension de son option de cyber-rançonnage dans l’attente d’une clarification du législateur. Une annonce qui faisait suite à deux prises de parole remarquées, celles de la cyberprocureure Johanna Brousse et du directeur général de l’Anssi, qui avaient pointé le rôle trouble des assureurs dans le business criminel des rançongiciels.
Des critiques partagées aux Etats-Unis ou en Grande-Bretagne, où des enquêtes avaient été publiées sur la manière dont des intermédiaires facilitaient le paiement de rançons à des cybercriminels. S’il existe indéniablement un risque d’un financement accru des organisations criminelles avec cette validation implicite du paiement des rançons, il est pour Bercy à mettre en regard avec le renforcement indispensable de la résilience des entreprises contre ce risque majeur.