Assurance cyber : Feu vert du gouvernement au paiement des rançons
Dans le cadre du projet de loi d'orientation et de programmation du ministère de l'Intérieur, le gouvernement entrouvre la possibilité de couvrir le paiement des rançongiciels par les assureurs.
Le débat fait rage depuis plusieurs mois. Faut-il autoriser les assureurs à intégrer le paiement des rançons dans leur contrat d'assurance en cas d'attaque cyber ? Le gouvernement a tranché. L'article 5 du projet de loi d'orientation et de programmation du ministère de l'Intérieur, déposé le 16 mars à l'Assemblée nationale, l'autorise sous conditions. « Le versement d’une somme en application d’une clause assurantielle visant à couvrir le paiement d’une rançon par l’assuré dans le cadre d’une extorsion prévue lorsqu’elle est commise au moyen d’une atteinte à un système de traitement automatisé de données du même code, est subordonné à la justification du dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard 48 heures après le paiement de cette rançon », lit-on dans le texte sur lequel le gouvernement a engagé la procédure accélérée.
Dans la lignée des travaux du HCJP
Le gouvernement s'appuie sur les travaux du Haut Comité Juridique de la Place financière de Paris (HCJP) rendu au mois de février dernier. « Ni le Code civil, ni le Code des assurances, ni même la jurisprudence ne se sont prononcés sur une inassurabilité de ce genre de garantie, le paiement de la rançon par l’assuré victime du chantage des hackers ne constituant pas en lui-même une activité illicite », écrivait le comité dans son rapport. Selon ce dernier, interdire le paiement des rançons « conduirait à pénaliser certaines entreprises ou collectivités victimes des cybercriminels et qui pourraient se retrouver ainsi en grande difficulté financière faute de pouvoir faire porter tout ou partie de leurs pertes sur l’assurance ».
Un point de vue qui tranche avec le rapport remis quelques mois plus tôt par la députée Valeria Faure-Muntian. « Il convient d’inscrire dans la loi l’interdiction pour les assureurs de garantir, couvrir ou d’indemniser la rançon », estimait alors la parlementaire. Même son de cloche pour Johanna Brousse en charge de la lutte contre la cybercriminalité. « La France est aujourd’hui l’un des pays les plus attaqués en matière de rançongiciels (…) parce que nous payons trop facilement les rançons », déclarait-elle devant les sénateurs au mois d'avril dernier. Axa décidait d'ailleurs de suspendre la garantie "cyber rançonnage" de ses contrats quelques jours plus tard.
"La clarification du gouvernement est une bonne chose. Interdire le paiement des rançons dans le cadre des contrats d'assurance aurait isolé la France des autres pays. Nous aurions été le seul pays à le pratiquer. Par ailleurs, dans le cadre de programmes d'assurance internationaux, sa mise en oeuvre aurait été inopérable. Là au moins les choses sont claires", pointe Grégoire Dupont, directeur général d'Agéa.
Le gouvernement offre un blanc-seing aux assureurs pour remettre le paiement des rançons dans leur contrat. A condition que l'article 5 ne soit pas amendé lors des lectures au Parlement.
À voir aussi
Cyber : Charles de la Horie, nouveau CEO de Miris
Nomination : Jeanne Vuillod-Rey rejoint Stoïk
Cyber : Dattak fait appel à Sompo pour l’international
Stoïk : Marjolène Lelievre nommée souscriptrice cyber