Le projet de loi “LOPMI”, adopté en première lecture par le Sénat le 12 octobre*, suscite toujours de vifs débats concernant ses dispositions visant à encadrer les remboursements par les assurances des rançons de cyberattaques.
Suite à diverses levées de boucliers, l’article suscitant la controverse a été réécrit et c’est donc une version modifiée du projet qui a été votée par l’Assemblée Nationale. Le terme de « rançon » est désormais absent du texte de loi. Cette nouvelle version serait-elle à même de clore toute polémique et de répondre à l’ensemble des enjeux concernant la lutte contre la cybercriminalité ?
Retour sur la polémique
La version initiale du projet prévoyait d’encadrer les remboursements de rançon par les assureurs, conditionnant ceux-ci à un dépôt de plainte. Sauf que le principe même du remboursement des rançons avait aussitôt suscité une levée de bouclier, les experts en cybersécurité redoutant un appel d’air et un renversement de doctrine : jusqu’à présent la doctrine officielle était de ne jamais payer les rançons.
Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) était particulièrement monté au créneau, redoutant des « pressions que pourraient exercer les assureurs auprès de leurs clients pour payer la rançon si celle-ci s’avère moins élevée que les coûts de remédiation » et des « risques accrus pour les entreprises pouvant se retrouver cataloguées comme de « bons payeurs » par les cybercriminels. »
Sur notre plateau d’AssuranceTV, le président de Stoïk Jules Veyrat avait lui-même défendu très clairement cette position : « nous ne payerons pas les rançons pour le compte de nos assurés. » Au fond ce projet risquerait d’alimenter un cercle vicieux et de nourrir ainsi la cybercriminalité. De leur côté, les assureurs avaient appelé à la définition d’un cadre explicite à propos des paiements de rançons.
La nouvelle mouture du projet
Face à la bronca suscitée, le ministère de l’Intérieur s’était finalement déclaré favorable « à la nouvelle rédaction de l’article 4 qui permet de créer des contraintes à l’appel d’air supposé sur les rançongiciels ».
Les députés ont ainsi voté en séance publique une nouvelle version, prévoyant désormais de conditionner le remboursement par l’assurance des « pertes et dommages causés par une cyberattaque à un dépôt de plainte, dans les 72 heures après la connaissance de l’atteinte par la victime », sachant que ces dispositions ne concernent que les entreprises et non les particuliers.
D’après le député de la majorité Mounir Belhamiti, cette nouvelle mouture permet « de préciser les conditions de prise en charge par les assurances des risques de cyberattaques », tout en incitant les victimes « à porter plainte rapidement si elles veulent pouvoir prétendre à une indemnisation ». La mention de « rançon » a donc été purement effacée du texte, sauf qu’en réalité le nouveau projet élargit le cadre d’application à toutes les attaques informatiques. Ainsi même si on ne parle plus de « rançons », celles-ci restent de fait englobées dans le nouveau dispositif.
Par ailleurs, le délai accordé à la victime pour porter plainte a été allongé à 72 heures. La précision apportée par les termes « pertes et dommages » qui remplace la simple notion de « dommages causés » est également tout sauf anodine car cela permet d’inclure explicitement les pertes d’exploitation subies par l’entreprise suite à une cyberattaque.
Un nouveau texte qui pose de nouvelles difficultés ?
Loin de sonner la fin du débat, cette nouvelle version du texte soulève de nouvelles questions, sachant que son adoption définitive ne se fera qu’à l’issue de débats supplémentaires entre l’Assemblée Nationale et le Sénat, puisque les deux chambres n’ont pas voté le projet de loi dans les mêmes termes. Une Commission Mixte Paritaire permettra d’aboutir à un compromis.
Sur le fond, de nouvelles difficultés ont déjà été soulevées par les spécialistes. Interrogé dans Le Siècle Digital, Luc Vignancour, responsable de la souscription cyber chez Beazley, assureur britannique, souligne qu’en cas de détection d’une cyberattaque, « la vitesse de réaction est primordiale. Il est dans le rôle des assureurs d’apporter une aide en gestion de crise le plus rapidement possible. Or en tant qu’assureurs, nous savons que les premières minutes comptent, qu’il faut agir vite. Si nous accompagnons notre assuré et qu’il n’y a pas de dépôt de plainte, est-ce l’assureur qui est en faute ? Risque-t-il d’être condamné à une amende parce qu’il n’a pas exigé le dépôt d’une plainte ? ». Voilà ainsi déjà une première confusion à éclaircir suite à l’adoption du texte.
De son coté, Philippe Cotelle, administrateur de l’Association pour le Management des Risques et des Assurances de l’Entreprise (Amrae) et président de sa commission cyber, espère que « cette loi ne créera pas un obstacle à l’indemnisation » des assureurs. En effet, « l’un des attraits de l’assurance cyber, c’est d’être à la fois présente en support lors de la gestion de crise, en termes de ressources techniques, juridiques, en communications… Autant d’éléments faisant partie de l’indemnisation des assureurs ». Or en cas de délai imposant un dépôt de plainte, cela pourrait empêcher les assureurs de mettre en œuvre immédiatement leur accompagnement de gestion de crise, celui-ci permettant pourtant de « minimiser l’impact d’une cyberattaque et d’améliorer la résilience des entreprises. » Ce type de prestations pourrait alors disparaître, nuisant ainsi à « un marché de l’assurance cyber encore fragile ».
A noter que ces personnalités se sont exprimées alors que le délai de dépôt de plainte envisagé était alors de 48 heures : en étendant ce délai à 72 heures, les députés ont souhaité accorder plus de souplesse aux entreprises victimes de cyberattaque. Reste à éclaircir le sujet du déclenchement immédiat de l’accompagnement de l’assureur sans attendre que la plainte soit déposée…
La vraie question n’est-elle pas la couverture cyber très insuffisante des entreprises ?
Si la question du paiement des cyber-rançons pose débat, l’intention initiale du projet reste en fait bien plus ambitieuse à en croire l’avocate spécialisée Valérie Lafarge-Sarkozy, interrogée sur Actu-Juridique.fr : « à travers ce projet de loi, y compris en prévoyant au départ le paiement des rançons, le gouvernement veut, me semble-t-il, mener deux objectifs. D’abord, il veut inciter les entreprises à s’assurer davantage contre le risque cyber, et à réfléchir aux failles de leur système. Puis, le second objectif est d’obliger les entreprises à déposer plainte. Souvent, après avoir été victimes d’une attaque, elles ne déposent pas plainte, par une crainte irrationnelle d’être exposées et préfèrent payer la rançon dans l’espoir vain de retrouver rapidement leurs données. »
Ainsi au-delà du débat sur la seule question du paiement des rançons, la problématique majeure reste tout bonnement la très insuffisante couverture actuelle des PME et TPE françaises en matière de cybercriminalité, ce qui les rend non seulement particulièrement vulnérables à une cyberattaque mais fragilise en réalité l’ensemble du marché assurantiel.
Valérie Lafarge-Sarkozy précise en effet que « seules 3 % des entreprises sont assurées : cette donne a certainement contribué à l’intégration de la cybersécurité dans le projet de loi LOPMI par le gouvernement. Les grands groupes ou les entreprises de tailles intermédiaires ont déjà pris la mesure de cet enjeu, mais la prise de conscience actuelle concerne plus les PME et les TPE. Elles ne se rendent pas compte qu’elles peuvent toutes être victimes d’une attaque cyber. Or la restauration d’un système d’information peut être onéreuse et la perte d’exploitation est certaine. » Autre élément particulièrement alarmant, « 62 % des entreprises attaquées subissent une nouvelle cyberattaque l’année suivante, sans avoir tiré de leçon et pris la mesure du risque. »
Philippe Cotelle abonde d’ailleurs dans le même sens : « ce sont surtout aujourd’hui les très grandes entreprises qui sont assez matures pour s’assurer. Mais le cœur de l’économie française, les PME et TPE, sont très peu assurées ». Pour Alain Bouillé du CESIN, un véritable changement de paradigme est nécessaire : « pour que le marché fonctionne, il faut du volume. Les cyber assureurs sont allés chercher ce volume du côté des grosses entreprises, mais évidemment cela présente plus de risques. Maintenant le gouvernement serait bien inspiré d’attirer les petites et moyennes entreprises vers les cyber assureurs ».
Le nerf de la guerre : les moyens financiers
Evidemment, la couverture insuffisante des PME et TPE en matière de risques Cyber s’explique facilement par les tarifs des cotisations, ainsi que par les conditions exigeantes demandés par les assureurs. Le CESIN avait lui-même déploré « une très forte hausse des tarifs pour une baisse des couvertures et des niveaux d’exigence quasiment inatteignables ». En réaction, de très grandes entreprises européennes se sont associées cette année pour créer leur propre compagnie d’assurance Cyber.
C’est pourquoi Alain Bouillé songe à un soutien financier sous forme d’incitation fiscale qui permette d’entrer « dans un cercle normal de petits clients, petits dégâts, gros clients, gros dégâts, mais dont le coût des sinistres pour les assureurs est dilué dans la masse ». Le niveau général de sécurité des entreprises, petites et grandes, serait alors nettement plus relevé.
Quant à Valérie Lafarge-Sarkozy, elle n’y va pas par quatre chemins pour exprimer ses préconisations : « je vais utiliser la même terminologie qu’avec le Covid-19 ! Il y a des gestes barrières à adopter dans le monde du numérique. Il faut former ses collaborateurs aux gestes barrières pour se prémunir. En réalité, 90% des attaques sont dues à des défaillances humaines. Il est donc nécessaire de mettre en place une cybergouvernance et de s’assurer. »
Au-delà des changements de mentalité à mettre en œuvre, reste donc la question des moyens financiers à consacrer à cette lutte, tant par les pouvoirs publics que par les entreprises : « il faut un investissement important pour le matériel ou la formation, souligne Valérie Lafarge-Sarkozy. Guillaume Poupard, le directeur général de l’ANSSI, disait que les entreprises devaient consacrer 5 à 10 % de leur budget informatique pour se protéger contre les attaques cyber. Mais elles n’ont pas forcément les moyens. Par conséquent, le coût de la cybersécurité est aussi un sujet. »
Les prochains débats, parlementaires, médiatiques ou entre spécialistes ne pourront donc pas occulter la question budgétaire. Pour l’heure, la loi LOPMI prévoit sur cinq ans un effort financier pour le Ministère de l’Intérieur de 8 milliards dédiés au cyber et au numérique, sur un effort total de 15 milliards en matière de sécurité.
*Lors des débats sur le projet de loi Orientation et programmation du ministère de l’intérieur (LOPMI), le 12 octobre, le sénateur Olivier Cadic avait défendu un amendement pour obtenir la suppression d’un article qui légitime de fait le remboursement des cyber-rançons par les assureurs, ce qui est en rupture avec la doctrine constante de l’ANSSI (*) selon laquelle la France ne paie pas de rançon ! Tout versement de rançon finance le terrorisme et incite les criminels à poursuivre leurs activités.