Les mesures présentées dans le cadre du projet de loi d’orientation et de programmation du ministère de l’Intérieur, dit LOPMI, ont quelque peu surpris les spécialistes de l’assurance cyber. L’une d’entre elles prévoit d’encadrer les clauses de remboursement des rançongiciels par les assurances, avec notamment un dépôt de plainte nécessaire pour pouvoir faire jouer l’assurance en cas de cyber-rançon.
Un niveau record d’attaques informatiques en 2021
Le montant moyen des rançons payées a atteint un nouveau record en 2021, à 2,2 millions de dollars, selon le dernier rapport de l’unité de recherche en cybersécurité Unit 42. Si les organisations ciblées payent rarement le prix exigé, celui-ci est pourtant en hausse de 78 %, à 541 000 dollars. Pour convaincre les victimes, les malfaiteurs utilisent la stratégie de la double extorsion qui consiste à récupérer les données les plus sensibles de l’entreprise avant de les chiffrer, puis de les diffuser sur le Dark Web. En cas de non-paiement de la rançon, les attaquants menacent de publier bien plus de données, ce qui pourrait nuire à l’image de la société.
La France est particulièrement visée par ces attaques de type « name-and-shame ». Les observations des chercheurs de l’Unit 42 montrent que plus d’un tiers des organisations victimes en 2021 se trouvaient en Europe et notamment sur le territoire français.
Encadrer le paiement des cyber-rançons
Présenté en conseil des ministres le 16 mars dernier, le projet de loi d’orientation et de programmation du ministère de l’Intérieur vise à mieux répondre aux « enjeux sécuritaires et territoriaux des années à venir ». Pour lutter plus efficacement contre la cybercriminalité, il prévoit d’encadrer les clauses de remboursement des rançongiciels par les assurances. Concrètement, la victime ne pourra être indemnisée que si elle accepte de porter plainte dans les 48 heures suivant le paiement de la rançon.
La LOPMI s’attaque à un autre sujet sur lequel les assureurs attendaient une clarification en refusant d’interdire le paiement des rançons. Sur ce point, le gouvernement s’aligne donc sur la proposition faite par le Haut Comité Juridique de la Place Financière de Paris (HCJP) qui, dans un rapport « L’assurabilité des risques cyber » publié à la fin du mois de janvier, recommandait de laisser une certaine marge de manœuvre aux victimes espérant récupérer l’accès à leurs données et à leurs assureurs.
Pour autant, cette décision est loin de faire l’unanimité. Valéria Faure-Muntian, députée LREM, affirme que « s’il existe un flou juridique autour du paiement des rançons, adopter le projet de loi tel quel reviendrait à autoriser de facto le paiement des rançons ».
De son côté, le ministère de l’Intérieur interrogé sur le sujet, rappelle que « ce qui compte, c’est l’information rapide des services d’enquête pour lutter efficacement contre ceux qui rançonnent ».
Pour le moment, le projet de loi n’est pas à l’étude au Parlement. Son avenir dépendra du résultat du scrutin et ses dispositions sont donc à relativiser.