Le gouvernement s'attaque au sujet de la cyber-assurance. Suite à la publication d'un rapport de la direction générale du Trésor, le ministère de l’Économie et des Finances propose d'inscrire dans un cadre réglementaire la possibilité pour les entreprises d'être indemnisées en cas d'attaque par ransomware.

Un nouveau cadre réglementaire pour la cyber-assurance

La cyber-assurance est un sujet qui divise depuis quelques années. Certains assureurs avaient même décidé de jeter l'éponge. En mai 2021, l'assureur a annoncé ne plus vouloir indemniser les attaques par ransomwares. Ces fameuses attaques durant lesquelles les hackers volent des données, souvent sensibles, et réclament ensuite une rançon. Une annonce qui survenait à une période où les ransomwares étaient n'avaient jamais été aussi nombreux en France.

Pour clarifier et réglementer le sujet de la cyber-assurance, Bercy a décidé de prendre les choses en main. Le ministère de l’Économie et des Finances a proposé de rédiger un cadre réglementaire pour obliger les assureurs à indemniser les entreprises en cas d'attaques par rançonlogiciels. À l'occasion du Conseil des Ministres du 7 septembre 2022, Bercy a donc proposé d'intégrer « une mesure dédiée aux cyber-rançons au sein du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) ».

Une indemnisation conditionnée à un dépôt de plainte

Dans le communiqué de presse du ministère, il est précisé que cette mesure concerne l’obligation pour les victimes de déposer une plainte pour être indemnisée. Cette décision découle du rapport publié par la direction générale du Trésor qui propose de « conditionner l’indemnisation d’une assurance cyber-rançon au dépôt de plainte de la victime afin de renforcer son accompagnement et améliorer les opérations d’investigation des autorités de police, de justice et de gendarmerie ».

Une proposition qui semble étonnante quand on sait que les autorités suggèrent généralement aux entreprises de ne surtout pas payer les rançons réclamées par les hackers. Cependant, la réalité est généralement différente : le FBI estime que la cybercriminalité a coûté 6,3 milliards d’euros au cours de l’année passée. Dans de nombreuses situations, les entreprises sont obligées de payer pour récupérer leurs données, ou simplement ou pour pouvoir accéder à leurs infrastructures numériques.

Ce nouveau texte vise également à décourager les hackers. En effet, les cybercriminels visent en priorité les entreprises qui disposent d’une couverture, car ils sont assurés d'être payés. Si toutes les entreprises sont logées à la même enseigne, cela devrait peut-être aider. Sur les conseils du Trésor, une équipe de travail a été créée pour réfléchir à d'autres solutions afin de faire évoluer la cyber-assurance. Les membres du groupe doivent se réunir en septembre pour une première réunion.