Cyber-assurance : qu’en est-il de l’encadrement du paiement des rançons ?

Interview d’Édouard LEMOALLE, avocat associé et DPO – Adaltys Avocats.

Projet de loi sur les cyber-rançons, de quoi s’agit-il ?

Édouard LEOMALLE. Le futur texte qui encadrera la prise en charge par les assurances des risques cyber, dont le paiement des cyber-rançons, est l’une des mesures phares de la nouvelle Loi d’Orientation et de Programmation du Ministère de l’Intérieur (LOPMI). Le projet présenté au Conseil des ministres le 7 septembre 2022 par Gérald Darmanin, ministre de l’Intérieur et des outre-mer, a fait l’objet d’une procédure accélérée devant le Parlement. Il prévoit une hausse du budget de l’Intérieur de 15 milliards d’euros entre 2023 et 2027.

Une grande partie de ce budget servira à poursuivre la modernisation des moyens de lutte contre la cybercriminalité. Le projet de loi prévoit notamment la saisie des actifs numériques, la création d’un numéro d’urgence (le 17 cyber) pour les entreprises attaquées, ainsi que le déploiement de 1 500 cyber-patrouilleurs supplémentaires. Le texte revient également sur la pratique controversée du paiement des rançons en cas de cyberattaque et de leur assurabilité. Il suit en ce sens le rapport de la direction générale du Trésor qui préconise de mieux structurer le marché de la cyber-assurance, en conditionnant l’indemnisation au dépôt de plainte de la victime.

Pourquoi le paiement et l’assurabilité des cyber-rançons font-ils débat ?

Les autorités gouvernementales se trouvent confrontées au principe de réalité. Jusqu’à présent, la doctrine officielle était de ne jamais céder aux exigences des cybercriminels. Pourtant, un rapport de Forrester pour l’assureur Hiscox[1] indique que 62% des entreprises françaises victimes de cyberattaques par rançongiciel en 2021 se sont résignées à payer la rançon pour récupérer l’accès à leurs données. Des sommes dont la valeur médiane atteignait 6 375 euros en France en 2020, selon les données du ministère de l’Intérieur citées par le rapport du Trésor.

Le problème, c’est que peu d’entreprises victimes de rançongiciel font la démarche de se faire connaître auprès des autorités, limitant ainsi leur capacité d’investigation.

En parallèle, certains assureurs se sont organisés face au volume croissant des cyberattaques. Beaucoup proposent aux entreprises des contrats prévoyant une prise en charge des coûts occasionnés par ces attaques. Mais s’ils le font, c’est qu’il y a de la demande. Les dirigeants d’entreprise sont les premiers à solliciter leurs assureurs, soit pour des raisons financières, soit pour des obligations contractuelles au sein de leur écosystème. Pour tenir leur modèle économique, les assureurs sont alors obligés de restreindre la couverture de risques, d’augmenter leurs tarifs ou de conditionner l’indemnisation à certains critères d’éligibilité. D’autres comme AXA France ou Generali France ont décidé de renoncer au remboursement des rançons sans évolution du cadre législatif.

Que propose le projet de loi modifié sur les cyber-rançons ?

On connaît l’importance des mots. La formulation du texte encadrant la prise en charge des cyber-rançons a suscité de nombreux débats au Sénat, puis à l’Assemblée nationale. En mentionnant explicitement dans la loi que les cyber-rançons pouvaient être remboursées par les assureurs, le risque était trop grand de voir les entreprises françaises devenir des cibles de choix de la cybercriminalité. Les sénateurs, puis les députés, ont donc préféré élargir le cadre assurantiel aux « pertes et dommages » causés par une cyberattaque, effaçant ainsi du texte le mot « rançon ».

La seconde disposition est le conditionnement de la prise en charge des assurances à un dépôt de plainte. Trop d’attaques passent encore sous les radars des autorités, du fait de la discrétion des entreprises qui ne souhaitent pas voir l’information reprise dans les médias. Initialement prévu dans les 48 heures, le délai maximal du dépôt de plainte a été allongé à 72 heures par les députés. Les services de l’État disposeront alors des informations nécessaires pour investiguer et poursuivre les cybercriminels.

Quelle est la suite législative pour ce projet de loi sur les cyber-rançons ?

Les députés ayant modifié les textes validés par le Sénat, le projet de loi devra repasser entre les mains des sénateurs, puis de l’Assemblée nationale avant adoption définitive.

Au-delà de l’assurabilité des attaques, comment les entreprises peuvent-elles réduire leur risque cyber ?

C’est un point sur lequel tout le monde s’accorde : la souscription à une cyber-assurance ne dispense aucunement les entreprises, petites et grandes, d’adopter de bonnes pratiques en cybersécurité. Je recommande fortement les dirigeants et les DSI à consulter les publications de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et à se faire accompagner par un prestataire de services qualifié. Il est essentiel par exemple de faire réaliser un audit de ses systèmes d’information pour évaluer leur capacité à résister aux attaques informatiques les plus courantes. Il est tout aussi important de sensibiliser régulièrement les collaborateurs aux comportements du quotidien qui pourraient devenir des portes d’entrée pour les cyber-attaquants. Il existe enfin des solutions technologiques qui limitent aujourd’hui considérablement le risque cyber.

Nous verrons comment réagira le secteur de l’assurance au texte de loi définitif, lorsqu’il aura été ratifié par les deux chambres, mais je pense que toutes ces bonnes pratiques feront partie à juste titre des critères d’éligibilité à toute couverture du risque cyber par les assureurs.

[1] Source : Hiscox.fr