Sur proposition du rapport de la direction générale du Trésor sur le marché de la cyber-assurance, Bercy a décidé d’intégrer dans un projet de la loi la possibilité d’indemniser une entreprise qui a subi une attaque par rançongiciel. Seule obligation pour elle, le dépôt d’une plainte. (Photo : P.Linforth/Pixabay)
C’est un sujet délicat auquel s’attaque le Gouvernement et Bercy en particulier : la cyber-assurance. A la suite d’un rapport de la direction générale du Trésor sur ce marché (commandé il y a un peu plus d’un an), le ministère de l’Economie et des Finances a proposé en Conseil des ministres du 7 septembre, « une mesure dédiée aux cyber-rançons au sein du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) ». Dans le communiqué, il est précisé que cette mesure concerne l’obligation pour les victimes de déposer une plainte pour être indemnisée.
Il s’agit d’une des propositions du rapport du Trésor, qui souhaite « conditionner l’indemnisation d’une assurance cyber-rançon au dépôt de plainte de la victime afin de renforcer son accompagnement et d’améliorer les opérations d’investigation des autorités de police, de justice et de gendarmerie ». La démarche peut cependant surprendre aux premiers abords, car les autorités martèlent leur conseil de ne pas payer les rançons en cas d’attaque. Mais de la théorie à la pratique, il y a souvent un fossé. Certaines PME-PMI, par exemple, n’ont d’autres choix que de payer pour tenter de récupérer leurs données ou l’accès à leur système. Néanmoins, les victimes sont peu nombreuses à se faire connaître et à déposer plainte.
Structurer un marché en plein doute
Sur le volet cyber-assurance, cette décision remet en selle les acteurs du marché à un moment où plusieurs assureurs avaient jeté l’éponge. Axa et Generali ont en effet cessé de proposer des contrats couvrant les dommages liés à des rançongiciels. Les parlementaires s’étaient inquiétés dans un rapport d’un lien entre cyberattaque et cyber-assurance. Les entreprises disposant d’une couverture devenaient en effet une cible privilégiée des pirates, sûrs d’être payés. Guillaume Poupard, directeur général de l’Anssi (Agence nationale de la sécurité des systèmes d’information), avait aussi taclé les assureurs qui, « se focalisent sur les rançons et se dotent de capacités à négocier ». Une porte ouverte à l’arrivée d’intermédiaires peu scrupuleux.
Le rapport du Trésor tente donc de clarifier le cadre juridique pour l’ensemble des acteurs. Outre l’indemnisation des victimes avec obligation d’un dépôt de plainte, l’administration plaide pour « un principe général d’inassurabilité des sanctions administratives ». Cela implique de ne pas couvrir les amendes potentielles liées à la non-conformité avec un cadre réglementaire, comme le RGPD. Le rapport donne aussi des pistes de solution : « l’assurance paramétrique qui permet le versement automatique d’une prestation établie en fonction d’un indice mesurable automatiquement, le développement de solutions d’auto-assurance telles que les captives de réassurance permettraient de créer un marché de l’assurance du risque cyber ». Pour réfléchir à ces différentes propositions et à d’autres sujets (exclusion des actes de guerre, formulaire à remplir, etc.), une task force réunissant l’ensemble des acteurs sera installée fin septembre.
Jacques Cheminat
Article original sur le site de notre publication sœur Le Monde Informatique