L’Assemblée nationale s’apprête à étudier le projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) ce lundi 14 novembre. Au sein de cette loi, l’article 4 fait débat dans le monde de la cybersécurité, dans celui de l’assurance, mais aussi parmi les élus. Dans sa version originale, cet article visait à subordonner la couverture par un assureur du paiement d’une rançon, après une attaque informatique, au dépôt d’une plainte. Une orientation mal perçue par le monde de la cybersécurité français. Après avoir été étudié par les législateurs, le terme de rançon a aujourd’hui disparu au profit de la mention « tout dommage causé par une atteinte à un système de traitement automatisé de données ». Cette fois ce sont les spécialistes des assurances qui s’interrogent…

Levée de bouclier du secteur de la cybersécurité dès la première version du texte

Le 7 septembre, sur LinkedIn, Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), réagit à un post avec un mème, montrant un chat se tapant la tête contre un mur. Cette publication porte sur l’une des suggestions d’un rapport de la direction générale du Trésor, intitulé « Le développement de l’assurance du risque cyber ». L’objet de l’exaspération du haut fonctionnaire est la proposition numéro 5 du texte. Dans un but affiché de clarification, cette proposition demande de « Conditionner l’indemnisation d’une assurance cyber-rançons au dépôt de plainte de la victime ».

impression écran LinkedIn

Capture d'écran : Siècle Digital

Le même jour, le ministre de l’Intérieur Gérald Darmanin a présenté la LOPMI en Conseil des ministres. Ce projet de loi reprend l’essentiel d’un autre, déposé en mars 2022, mais dont l’examen a été repoussé avec l’arrivée des élections législatives. La proposition du rapport de la direction générale du Trésor est reprise dans le fameux article 4 de cette nouvelle loi. Pour Loïc Guézo, secrétaire général du Club de la sécurité de l’information français (CLUSIF) la formulation d’alors est une très mauvaise idée, allant à l’encontre « de la doctrine officielle qui est de ne jamais payer les rançons » explique-t-il à Siècle Digital.

La couverture du paiement d’une rançon par les assurances, après une attaque par rançongiciel, n’est pas, de fait, interdite par la loi française. En l’autorisant explicitement, les experts de la cybersécurité ont toutefois redouté que le gouvernement entraîne un appel d’air. Alain Bouillé, délégué général du Club des experts de la sécurité de l'information et du numérique (CESIN), considère « en schématisant et en raccourcissant un peu » que cette formulation « pouvait devenir très vite un encouragement au crime ». Dans un sondage mené auprès de ses membres, fin septembre, le CESIN note que sur 249 répondants, 82 % des sondés se positionnaient contre la première version de la LOPMI. Le paiement d’une rançon à des cybercriminels ne certifie pas un système d’information débloqué, ou que des données n’en ont pas déjà été exfiltrées pour un futur chantage, voire qu’une nouvelle attaque pourrait suivre.

En 2021, l’Assemblée nationale et le Sénat ont publié deux rapports distincts abordant la question de la couverture des rançons par les assureurs. Les deux allaient dans le même sens : celui de l’interdiction. Valéria Faure-Muntian, ex-députée de la majorité La République En Marche et co-présidente du groupe d’étude « Assurances » de la chambre, à l’origine du texte a exprimé à Siècle Digital son incompréhension face à la formulation initiale de la LOPMI. Elle dénonce une victoire du lobby des assureurs, un avis largement partagé parmi les détracteurs du texte. Ces derniers estiment en effet qu’il revient moins cher aux assureurs de couvrir le paiement d’une rançon, que de couvrir les frais de remédiation. LOPMI permettrait d’encourager cette pratique.

Luc Vignancour, responsable de la souscription cyber chez Beazley, un assureur d’origine britannique, affirme au contraire qu’il « n’y a aucun intérêt financier à payer la rançon » pour les assurances. Selon lui, cette idée relève de la « légende urbaine », la décision de payer ou non une rançon revenant de toute façon à l’entreprise victime et non son assureur. Ce dernier se chargeant de l’accompagner dans la gestion de cette crise. Il qualifie le débat autour des rançons de simpliste. Dans sa version initiale, le texte avait peut-être l’intérêt de clarifier la légalité du paiement de la rançon, mais « ne changeait pas notre façon d’accompagner l’assuré ». Au contraire, il estime que « si l’objectif est l’interdiction du paiement des rançons, je ne comprends pas ce que l’assureur vient faire là-dedans. Pourquoi demander à l’assureur d’en prendre la responsabilité ? ».

L’interdiction de la couverture du paiement des rançons ne fait pas l’unanimité. Plusieurs amendements déposés en ce sens ont été rejetés au Sénat. Alain Bouillé, du CESIN, rapporte qu’une « PME peut avoir tout son système d’information bloqué, des données de productions chiffrées, des données de sauvegarde chiffrées. Dans ces cas-là, l’entreprise n’a pas d’autres choix que de payer. S’il lui est interdit de régler la rançon, cela veut dire qu’on la laisse mourir ». Un point de vue partagé par Rémi Cardon, sénateur du groupe Socialiste, Écologiste et Républicain, co-rédacteur du rapport du Sénat, qui a dénoncé un article 4 « un peu open-bar ».

Face à la bronca suscitée par le texte, le ministère de l’Intérieur, qui n’a pas donné suite aux demandes d’entretiens de Siècle Digital, s’est déclaré, début novembre, favorable « à la nouvelle rédaction de l’article 4 qui permet de créer des contraintes à l’appel d’air supposé sur les rançongiciels ». Cette nouvelle rédaction, proposée en Commission des lois par le député MoDem Philippe Latombe et certains de ses collègues, évacue le terme rançon. Il souligne que « nous avons vu en Commission des lois qu’il y avait une forme d’unanimité pour dire que l’article 4 a été vraiment mal rédigé ». Il dénonce également un mauvais signal envoyé depuis Bercy vers le monde de la cybersécurité « pourtant l’un des meilleurs écosystèmes au monde », saluant au contraire les efforts de Beauveau en ce sens.

Les entreprises et assureurs sont, à leur tour, inquiets de la nouvelle orientation prise par la LOPMI

Dans sa dernière forme, celle qui va être débattue en séance plénière de l’Assemblée nationale ce 14 novembre, « Le versement d’une somme en application d’une clause assurantielle visant à indemniser » suite à une cyberattaque, est toujours subordonnée « à la justification du dépôt de plainte de la victime auprès des autorités compétentes, au plus tard quarante-huit heures après la constatation de l’infraction ». Cette nouvelle mouture, l’actuelle, ne va pas sans l’apparition d’autres difficultés.

Dans le cas de la détection d’une cyberattaque, la vitesse de réaction est primordiale. Il est dans le rôle des assureurs d’apporter une aide en gestion de crise le plus rapidement possible. Luc Vignancour se pose la question, « Nous, en tant qu’assureurs, nous savons que les premières minutes comptent, qu’il faut agir vite. Si nous accompagnons notre assuré et qu’il n’y a pas de dépôt de plainte, est-ce l’assureur qui est en faute ? Risque-t-il d’être condamné à une amende parce qu’il n’a pas exigé le dépôt d’une plainte ? ». Pour le spécialiste il s’agit d’un problème de forme du texte, d’une confusion à éclaircir.

Philippe Cotelle, administrateur de l’Association pour le Management des Risques et des assurances de l’entreprise (Amrae) et président de sa commission cyber, a des craintes similaires. Il insiste pour que « cette loi ne crée pas un obstacle à l’indemnisation ». Il note que « l’un des attraits de l’assurance cyber, c’est d’être à la fois présente en support lors de la gestion de crise, en termes de ressources techniques, juridiques, en communications… Autant d’éléments faisant partie de l’indemnisation des assureurs ». Si l’indemnisation devait être liée à une plainte déposée dans un délai de quarante-huit heures, une assistance « clefs pour minimiser l’impact d’une cyberattaque et améliorer la résilience des entreprises » pourrait disparaître. Philippe Cotelle estime aussi que cela pourrait nuire à « un marché de l’assurance cyber encore fragile ».

Pour beaucoup, la vraie question à se poser est là : comment renforcer le marché de l’assurance cyber en France ? Philippe Cotelle constate que « Aujourd’hui ce sont surtout les très grandes entreprises qui sont assez matures pour s’assurer et que le cœur de l’économie française, les PME et TPE, sont très peu assurées ». Un rapport annuel de l’AMRAE, LUCY, indique qu’en 2021 82 % du volume des primes sont versées par les grandes entreprises. L’administrateur de l’association pointe que « cette loi ne s’adresse, en réalité, qu’à une minorité d’entreprises ». Un avis partagé par Alain Bouillé, du CESIN. Selon lui, il faut un changement de paradigme dans le monde de l’assurance cyber, « Pour que le marché fonctionne, il faut du volume. Les cyber assureurs sont allés chercher ce volume du côté des grosses entreprises, mais évidemment cela présente plus de risque ». En 2020, une poignée de sinistres ont mis en péril l’équilibre de ce marché. En conséquence, les assureurs ont durci leurs conditions d’assurances.

Luc Vignancour, de Beazley, entend les récriminations des PME et TPE sur le prix des primes ou l’exigence des questionnaires qui leur sont envoyés avant qu’elles ne soient assurées, mais « il faut que nous préservions notre équilibre économique » pour pouvoir « arriver à évaluer notre exposition au risque en tant qu’assureur » rappelle-t-il. Un exercice difficile pour une matière aussi mouvante que les cyberattaques. Pour Alain Bouillé c’est sur cet aspect que « le gouvernement serait bien inspiré de se pencher, attirer les petites et moyennes entreprises vers les cyber assureurs ». Selon lui un soutien financier, sous forme, par exemple d’incitation fiscale, pourrait permettre de relever le niveau général de sécurité et permettrait de rentrer « dans un cercle normal de petits clients, petits dégâts, gros clients, gros dégâts, mais dont le coût des sinistres pour les assureurs est dilué dans la masse ».

Les débats parlementaires autour de la LOPMI devront trouver un point d’équilibre, entre le besoin de clarification, pouvant favoriser un marché de l’assurance cyber en France et le danger de donner l’impression que la France encourage le paiement des rançons. Plusieurs amendements, notamment du député Philippe Latombe, viseront à lever les ambiguïtés existantes. Le projet de loi d’orientation et de programmation du ministère de l’Intérieur pourrait être adopté d’ici la fin de la semaine.