Assurance cyber : Le HCJP planche sur la couverture des rançons

Dans un rapport sur l’assurabilité des risque cyber rendu il y a quelques jours, le Haut Comité Juridique de la Place Financière de Paris (HCJP) propose plusieurs clarifications, notamment autour du paiement de rançons en cas d’attaque.

Saisi par la direction générale du Trésor pour examiner les questions juridiques autour de l’assurance des risques cyber, le Haut Comité Juridique de la Place financière de Paris a rendu il y a quelques jours un épais rapport à travers lequel il clarifie plusieurs points. Dans le document issu d’un groupe de travail dédié, le HCJP s’est notamment penché sur une thématique qui anime le marché depuis plusieurs mois : « la possibilité au plan juridique de couvrir le risque de cyber rançonnage des entreprises et des particuliers par les mécanismes assurantiels ».

Alors que le marché français de l’assurance cyber est actuellement estimé à 135M d’euros (sur un marché mondial de près de 7Mds de dollars de primes), le HCJP considère que « ni le Code civil, ni le Code des assurances, ni même la jurisprudence ne se sont prononcés sur une inassurabilité de ce genre de garantie, le paiement de la rançon par l’assuré victime du chantage des hackers ne constituant pas en lui-même une activité illicite ».

Si pénalement aucun texte ne vient non plus sanctionner le paiement de la rançon par la victime ou son remboursement par l’assureur, le Haut Comité s’interroge toutefois sur la question de l’infraction pénale du financement du terrorisme. « Il apparaît que cette infraction pourrait être constituée si la victime ou son assureur ont connaissance en amont du règlement de la rançon du fait que les fonds fournis sont destinés à être utilisés, en tout ou en partie, en vue de commettre (un acte de terrorisme) », note ensuite le HCJP.

Prévenir Tracfin et la DG Trésor

Toujours au sujet de l’assurabilité de la rançon en cas de cyberattaque, le rapport précise ensuite qu’assureurs et assurés sont tenus de respecter les dispositions du Code monétaire et financier sur la LCB-FT et le respect des mesures de gel de avoirs. « Lorsqu’une déclaration s’impose, les assureurs ne peuvent procéder au remboursement de la rançon qu’à la condition que Tracfin n’a pas notifié d’opposition à ce paiement. A cet égard, il semble que les contrats d’assurance cyber explicitent peu ces procédures de vérification liées à la lutte contre le blanchiment des capitaux et le financement du terrorisme et les conséquences potentielles sur la garantie remboursement de la rançon », peut-on lire dans le rapport.

Ainsi, le Haut Comité rappelle qu’avant tout remboursement de rançon, l’assureur doit identifier l’attaquant et vérifier s’il n’est pas désigné par une mesure de gel des avoirs. « Si cela était le cas, l’assureur est tenu de le déclarer dans les plus brefs délais » à la DG Trésor. Tout remboursement par l’assureur d’une rançon payée à l’une des personnes ou entités gelées/ sanctionnées au niveau national, européen ou international est prohibé », indique dans ce cas le HCJP.

Trois axes d’amélioration

Le rapport détaille également plusieurs arguments en faveur de l’assurabilité d’un tel risque, expliquant qu’interdire le remboursement des rançons par les assureurs ne changera pas la situation. « Pire, cela conduirait à pénaliser certaines entreprises ou collectivités victimes des cybercriminels et qui pourraient se retrouver ainsi en grande difficulté financière faute de pouvoir faire porter tout ou partie de leurs pertes sur l’assurance ».

« Dès lors que les dispositifs français et internationaux visant à lutter contre le blanchiment et le financement du terrorisme sont respectés, compte tenu du besoin des victimes de se garantir contre le risque de ransomware et du marché européen dans lequel évoluent les entreprises d’assurance et les victimes, interdire l’assurabilité du remboursement des rançons en cas de cyberattaque n’est pas préconisé », pointe plus loin le document.

Le Haut Comité Juridique de la Place financière de Paris y propose même certains axes d’amélioration visant à lutter contre les attaques par ransomware : des mesures d’ordre opérationnel (faciliter le dépôt de plaintes, améliorer la coordination entre autorités publiques compétentes, renforcer les partenariats entre assureurs et pouvoirs publics, etc) réglementaire (clarifier les textes, règlementer le marché des crypto-actifs, et des mesures de sensibilisation à l’égard des acteurs (diffusion de guides pédagogiques, renforcement des actions des assureurs en matière de prévention des risques cyber).