Cyber : L'Assemblée nationale adopte le paiement des rançons

mercredi 16 novembre 2022
Image de Cyber : L'Assemblée nationale adopte le paiement des rançons

Les députés ont adopté l'article 4 de la loi d’orientation et de programmation du ministère de l’Intérieur (Lopmi). Il ouvre la voie au paiement des rançons par les assureurs dans le cadre d'attaques cyber. Le texte initial a toutefois été amendé.

La question du paiement des cyber-rançons fait débat. Guillaume Poupard, président de l'Anssi ou encore Johanna Brousse de la section cybercriminalité du parquet de Paris sont clairement contre le principe. En revanche, dans un récent rapport de la direction générale du Trésor, Bercy approuvait le dispositif.

Cette divergence de vue se retrouve également dans les travées de l'Assemblée nationale. Lors des débats sur l'article 4 de la loi d’orientation et de programmation du ministère de l’intérieur (Lopmi), deux camps s'affrontaient. Pour rappel, le texte prévoit la prise en charge des rançons par les assureurs. « Plus on paie des rançons, plus on injecte de l’argent dans un système frauduleux de criminalité organisée, plus le risque de cyberattaques augmente et plus les TPE-PME sont exposées ; c’est un cercle vicieux », s'exclamait le député RN Aurélien Lopez-Liguori durant les débats de lundi.

« Le dispositif proposé me semble équilibré et aller dans le bon sens », tempérait Erwan Balanant (Modem). « Au final, faut-il obligatoirement s’en remettre au marché assurantiel privé pour couvrir ce risque ? C’est un vrai débat. Je ne suis pas un grand fan des assurances privées, qui finissent toujours par s’enrichir. Je préfère la Sécurité sociale », lâchait pour sa part Ugo Bernalicis (LFI).

8 lignes, 7 amendements

Le résultat de ce débat est un texte particulièrement amendé par les députés. Pas moins de 7 amendements ont ainsi été approuvés pour un article qui compte 8 lignes. Beaucoup sont des apports rédactionnels. Exit par exemple le terme rançon inscrit dans le projet porté par Gérald Darmanin. Ainsi, « le versement d’une somme en application d’une clause assurantielle visant à couvrir le paiement d’une rançon par l’assuré dans le cadre d’une extorsion », devient « le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données".

Finalement, cet article « ne traite pas seulement des rançons : il vise l’ensemble des dommages causés aux entreprises par ce type d’attaques », relève Ugo Bernacilis.

L'épineuse question du délai

Les députés ont ensuite débattu sur le sujet du délai accordé aux victimes pour déposer plainte et ainsi bénéficier des garanties de leurs contrats. Initialement prévu à 24h par le ministère de l'Intérieur, les députés le portaient à 48h lors de la première lecture du texte. Les sénateurs le ramenaient de leur côté à 24h. Finalement, en seconde lecture, l'Assemblée nationale a décidé d'octroyer 72h aux assurés.

Là encore les discussions furent vivent. La France Insoumise souhaitait expérimenter la mesure sans fixer de délai. « Il faudrait d’abord mesurer l’évaluation des risques et notre acculturation, plutôt que de fixer tout de suite un délai de quarante-huit ou de soixante-douze heures », pointe Elsa Faucillon de la Nupes. Un point de vue que ne partagent pas les autres groupes parlementaires. « Il est important que le délai alloué aux entreprises soit porté de quarante-huit à soixante-douze heures, tout simplement parce que, comme chacun le sait, il est compliqué de rassembler les pièces nécessaires au dépôt de plainte et de présenter tous les éléments requis », exprime Isabelle Valentin (Les Républicains). Même constat pour le député socialiste Hervé Soulignac à l'origine de l'amendement destiné à allonger le délai.

Enfin, l'un des points cruciaux de cet article 4 concernait le point de référence qui faisait courir ce délai. Finalement, il démarrera lorsque « la victime aura pris connaissance de l'atteinte ». Un dernier amendement vient préciser que ces dispositions légales sur la couverture des cyber attaques ne s'appliquent qu'aux personnes morales et physiques dans le cadre de leur activité professionnelle.

Il reste un dernier passage pour Lopmi, à savoir celui de la commission mixte paritaire.

Contenus suggérés