Encadrer l’indemnisation d’une rançon par les assurances. Voilà l’une des ambitions du tout récent projet de loi d'orientation et de programmation du ministère de l’Intérieur (dit « LOPMI »). État des lieux.
« La France et l’Europe doivent rapidement développer et encadrer l’assurance en cas de cyberattaque ». Après avoir dénoncé les insuffisances du secteur, c’est à cette conclusion qu’arrivait fin 2021, la Délégation sénatoriale aux entreprises au Sénat.
Si 135 millions de primes ont été versées depuis 2013, la somme ne représente qu’à peine « 0,225 % des 60 milliards de l’assurance non-vie en France ». Or, rien qu’en 2021, « le revenu du cybercrime est évalué à 6 000 milliards de dollars », quand un an plus tôt, le nombre de victimes aurait été multiplié par 4.
Assurer le risque cyber et tout particulièrement le paiement d’une rançon ? Le projet de loi LOPMI, enregistré au Sénat le 7 septembre dernier, a tranché : c’est oui.
Un article 4 rajoute une disposition au Code des assurances, avec un dispositif qui a le mérite de la simplicité : les clauses de remboursement des rançongiciels par les assurances devraient à l’avenir être conditionnées par le dépôt d’une plainte de la victime. Et ce dépôt devra intervenir au plus tard 48 heures après le paiement de la cyberrançon.
Améliorer l’information du judiciaire
Dans son exposé des motifs, l’exécutif vante un système qui va améliorer « l'information des forces de sécurité et de l'autorité judiciaire ». Et pour cause, les victimes seront obligées de sortir du bois.
À ce jour, « beaucoup de personnes morales et même de particuliers renoncent à faire valoir leur droit de victime, craignant de reconnaitre leur vulnérabilité et que cette démarche ne porte atteinte à leur image » relève la place Beauvau, dans l’étude d’impact associée au projet de loi.
Autre mérite, sans grandes explications : un tel dispositif va « "casser" le modèle de rentabilité des cyber attaquants ».
Comment l’exécutif justifie cette couverture
La démarche peut surprendre, dans la mesure où l’ANSSI recommande imperturbablement de « ne pas payer la rançon ». Son dossier sur le sujet relève d'ailleurs que le paiement « ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux ».
Le ministère a cependant une autre analyse, adossée à un changement de contexte : « si la posture des services compétents a toujours été de recommander le non-paiement des rançons, la dégradation rapide de la situation appelle à une action publique plus déterminée afin de s'assurer, que dans les cas où une rançon a été payée, les autorités compétentes disposent des informations nécessaires pour poursuivre les auteurs de l'infraction ».
Pour l’Intérieur, « du point de vue de la victime et de son assureur, le paiement des rançons apparaît parfois comme une solution viable à court terme pour limiter les coûts ». Et l’étude d’impact de constater également que le marché de l’assurance en risque cyber est encore « en développement », où 95 % des entreprises ne sont pas couvertes. « Une sous-couverture globale d'assurance cyber fait courir des risques pour l'ensemble de l'écosystème des entreprises en raison d'importants risques de contagion (sous-traitants, fournisseurs, clients, partenaires commerciaux...) ».
Rien n’interdirait juridiquement ce paiement
Dans l’analyse juridique de l’article 4 du projet de loi, le gouvernement considère que rien n’interdit le paiement de la rançon. Ce paiement par la victime « ne constitue ni un délit ni un acte de complicité », insiste-t-il.
Analyse que partage notamment Christophe Delcamp, directeur adjoint au Pôle assurances de dommages et responsabilité de la Fédération française de l'assurance. « Est-il légal d'assurer le remboursement des paiements de rançons par les chefs d'entreprise ? Le droit, aujourd'hui, le permet. Ce n'est pas non plus interdit à l'international », exposait-il au Sénat en novembre 2021.
Le gouvernement concède que conditionner la couverture assurantielle au dépôt d’une plainte serait une atteinte à la liberté contractuelle. Cependant, dans sa mise en balance, c’est aussi un moyen pour le pouvoir judiciaire de réagir rapidement pour éviter les répliques.
Plusieurs options étaient sur sa table, par exemple celle d’interdire purement et simplement ce paiement de la rançon par les assureurs. Mis à l’honneur dans le rapport de juin 2021 des sénateurs Sébastien Meurant et Rémi Cardon, portant sur la cybersécurité des entreprises, l’idée n’aurait cependant de sens qu’à l’échelle de l’UE. À défaut ? Elle inciterait « les acteurs à s'assurer auprès de compagnies européennes non assujetties à cette règle ».
Une réponse plus rapide, une information systématique
L’option finalement retenue dans le projet de loi, à savoir conditionner « le paiement des garanties assurantielles en cas de rançongiciel au dépôt de plainte par la victime dans un délai de quarante-huit heures », est finalement la seule qui a trouvé grâce aux yeux du gouvernement.
Le régime ne change rien à l'état de l'art, mais aurait le mérite d’offrir « une réponse plus rapide et plus efficace des services de l'État, informés plus tôt et plus systématiquement » et ce, afin de limiter au global les coûts de cette e-délinquance.
On comprend cependant assez mal comment sera cassé « le modèle de rentabilité des cyber-attaquants », quand l’étude d’impact relève que son principal inconvénient « réside dans le fait qu'elle puisse être interprétée par le marché, le grand public et les futures victimes comme un blanc-seing du législateur pour procéder au paiement de rançons en cas de rançongiciel ».
« Nous payons trop facilement »
Des propos qui contrastent aussi avec ceux prononcés le 15 avril 2021 au Sénat, lors de cette table ronde portant sur la cybersécurité des ETI, PME et des TPE.
Appelant à « durcir le ton face au paiement des rançons », la cyber-procureur Johanna Brousse regrettait que la France soit devenue l’un des pays les plus attaqués en matière de ransomware « parce que nous payons trop facilement ».
« Nous nous sommes rendu compte que les assureurs garantissaient le paiement des rançons ». Or, pour la vice-procureur de la section J3 dédiée à la cybercriminalité, « payer la rançon pénalise tous les autres, car les hackers (comprendre les pirates, ndlr) s’en prendront plus facilement à notre tissu économique ».
Pour elle, un seul mot d’ordre : « en matière de ransomware, nous ne voulons plus payer et nous n’allons plus payer ».
Analyse partagée par Guillaume Poupard, qui a mis à l’index le « jeu trouble de certains assureurs », souhaitant dans le même temps faire la chasse aux « intermédiaires gris ». Ces acteurs qui ont développé un business du paiement de ces sommes, tout en se rémunérant sur leur capacité à négocier avec les criminels. « C’est extrêmement malsain » concluait le directeur de l’ANSSI, pressentant un résultat « catastrophique ».
Sur la couverture assurantielle des rançons, le directeur de l’Agence nationale relevait au passage plusieurs particularismes, et autant de témoignages de la complexité du sujet. « Si on peut difficilement avoir des incendies partout au même moment, dans le cyber, tout le monde peut être victime en même temps ».
Il n’y a pas que ces effets systémiques. Lors d’une telle attaque, les entreprises peuvent aussi être victimes collatérales d’actes de guerre ou du terrorisme. Or, l’article l. 121-8 du Code des assurances impose de ne pas couvrir les dommages causés par une guerre étrangère. Quant au terrorisme, il existe un programme de co-assurance assuré par le GIE GAREAT, avec des règles très spécifiques.
Le feu vert de la DG Trésor
La prudence des uns tranche avec celle des autres. Ce régime en gestation est plébiscité par la DG Trésor elle-même, comme en témoigne son rapport sur la cyber-assurance, tout juste publié.
La direction générale, installée à Bercy, anticipe déjà plusieurs déclinaisons vertueuses, avec pourquoi pas une coopération aiguisée entre les assureurs et les forces de sécurité, une bonne parole « cyber » portée par les fédérations professionnelles, voire un partage des données anonymisées vers l’ANSSI, « afin d’affiner la connaissance de la menace cyber ».
Bercy lance plusieurs appels du pied aux assureurs, notamment pour inciter les entreprises « à adopter des bonnes mesures de protection cyber pour prévenir le risque de sous-investissements (…) en matière de sécurité ».
Un « ciblage accru des entreprises françaises » du fait de cette assurabilité ? Ces craintes sont repoussées sans ménagement par la DG au motif qu’ « aucun État de l’OCDE n’interdit la couverture de ce risque ».
