L’Assemblée nationale examinera le projet de loi en séance plénière le lundi 14 novembre. Photo : Coucouoeuf / Wikimedia.

L’Assemblée nationale s’apprête à voter le projet de loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) ce lundi 14 novembre. Au sein de cette loi, l’article 4 fait débat dans le monde de la cybersécurité, dans le monde de l’assurance, mais aussi chez les élus. Dans sa version originale, cet article visait à rendre susceptible de recours la couverture par un assureur du paiement d’une rançon, suite à une attaque informatique. Une orientation mal perçue par le monde de la cybersécurité française. Après avoir été étudié par le législateur, le terme de rançon a aujourd’hui disparu au profit de « tout dommage causé par une attaque contre un système de traitement automatisé de données ». Cette fois, les experts en assurance se demandent…

Levée de bouclier du secteur de la cybersécurité dès la première version du texte

Le 7 septembre, sur LinkedIn, Guillaume Poupard, directeur général de l’Agence pour la sécurité des systèmes d’information nationaux (ANSSI), a réagi au post par un mème, montrant un chat se cogner la tête contre un mur. Cette publication fait référence à l’une des propositions du rapport de la Direction Générale du Trésor intitulé « Développement de l’assurance contre les risques cyber ». L’objet de l’indignation du haut fonctionnaire est la proposition numéro 5 du texte. Dans un objectif clair de clarification, cette proposition demande de « conditionner le remboursement de l’assurance cyber rançon au dépôt d’une plainte par la victime ».

Capture d’écran : Century Digital

Le même jour, le ministre de l’Intérieur Gérald Darmanin a présenté LOPMI au Conseil des ministres. Ce projet de loi reprend les fondements d’une autre loi qui avait été proposée en mars 2022, mais dont l’examen a été reporté en raison de l’approche des élections législatives. Le projet de rapport de la direction générale du Trésor est repris dans le fameux article 4 de cette nouvelle loi. Pour Loïc Guéz, secrétaire général du Club français de la sécurité de l’information (CLUSIF), la formulation était une très mauvaise idée à l’époque, contredisant « la doctrine officielle de ne jamais payer de rançons », explique-t-il dans Century Digital.

La couverture par l’assurance des paiements de rançon, suite à une attaque par ransomware, n’est en effet pas interdite par la loi française. Cependant, en l’autorisant explicitement, les experts en cybersécurité craignaient que le gouvernement ne conteste le projet de loi. Alain Bouille, délégué général du Club des experts de l’information et de la sécurité numérique (CESIN), estime que cette formulation « pourrait très vite devenir une incitation à la délinquance » car « un peu schématique et abrégée ». Dans une enquête auprès de ses membres fin septembre, le CESIN a indiqué que sur 249 répondants, 82% des répondants étaient contre la première version de LOPMI. Payer une rançon aux cybercriminels ne confirme pas un système d’information déverrouillé, ni que des données n’en ont pas déjà été exfiltrées pour de futurs chantages, ni même qu’une autre attaque puisse suivre.

En 2021, l’Assemblée nationale et le Sénat ont publié deux rapports distincts traitant de la question de la prise en charge des rançons par les assureurs. Ils allaient tous les deux dans le même sens : l’interdiction. Valéria Faure-Muntian, ancienne députée de la majorité de La République En Marche et co-présidente du groupe d’étude de la chambre « Assurances », en début de texte, a fait part à Siècle Digital de son incompréhension de la formulation originale de LOPMI. Il dénonce la victoire du lobby des assurances, un sentiment largement partagé par les détracteurs du texte. Ces derniers estiment qu’il est moins coûteux pour les assureurs de couvrir le paiement de la rançon que de couvrir les frais de réhabilitation. LOPMI encouragerait cette pratique.

Luc Vignancour, responsable de la cyberassurance chez Beazley, un assureur d’origine britannique, affirme au contraire qu’il n’y a « aucun intérêt financier à payer une rançon » pour l’assurance. Selon lui, cette idée est une « légende urbaine », la décision de payer ou non la rançon appartient dans tous les cas à l’entreprise de la victime et non à son assureur. Ce dernier est responsable de son soutien dans la gestion de cette crise. Il décrit le débat sur la rançon comme simpliste. Dans sa version initiale, le texte a peut-être eu l’avantage de clarifier la légalité des versements de rançons, mais il « n’a pas changé la façon dont nous accompagnons les assurés ». Au contraire, il estime que « si le but est d’interdire les paiements de rachat, je ne comprends pas ce que l’assureur fait là. Pourquoi demander à l’assureur de prendre ses responsabilités ? « .

L’interdiction de couvrir les paiements de rançon ne fait pas l’unanimité. Plusieurs amendements déposés à cet égard ont été rejetés au Sénat. Alain Bouille, du CESIN, rapporte qu’« une PME peut avoir tout son système d’information bloqué, les données de production cryptées, les sauvegardes de données cryptées. Dans ces cas, l’entreprise n’a d’autre choix que de payer. Si on lui interdit de payer la rançon, cela signifie qu’elle est laissée pour morte. Le point de vue est partagé par Rémi Cardon, sénateur du groupe des Socialistes, Écologistes et Républicains, co-auteur du rapport du Sénat, qui a dénoncé l’article 4 comme « un peu ouvert ».

À Lire  Le "bonus-malus" anti-CDD de Macron sanctionne 6.700 entreprises

Face au tollé suscité par le texte, le ministère de l’Intérieur, qui n’a pas répondu aux demandes d’interview de Siècle Digital, s’est prononcé début novembre favorable à « une nouvelle rédaction de l’article 4 qui pourrait créer des restrictions à l’appel aérien présumé ». des rançongiciels ». Cette nouvelle rédaction, proposée en commission des lois par le député MoDem Philippe Latombe et certains de ses collègues, supprime le terme de rançon. Il souligne qu’« en commission juridique, on a vu qu’il y a unanimité pour dire que l’article 4 est vraiment mal rédigé ». Il dénonce aussi le mauvais signal que Bercy a envoyé au monde de la cybersécurité « et pourtant l’un des meilleurs écosystèmes au monde », applaudissant au contraire les efforts de Beauveau en ce sens.

Les entreprises et assureurs sont, à leur tour, inquiets de la nouvelle orientation prise par la LOPMI

Dans sa dernière forme, celle qui sera débattue lors de la séance plénière de l’Assemblée nationale le 14 novembre, « Le versement de la somme au titre de la clause d’assurance aux fins d’indemnisation » après une cyberattaque, est toujours soumise à « justification de la plainte de la victime aux autorités compétentes, au plus tard quarante-huit heures après la constatation des travaux ». Cette nouvelle version, l’actuelle, n’est pas sans autres difficultés.

Dans le cas de la détection d’une cyberattaque, la rapidité de réaction est importante. Le rôle des assureurs est d’aider à gérer au plus vite les situations de crise. Luc Vignancour s’interroge : « Nous, assureurs, savons que les premières minutes comptent, qu’il faut agir vite. Si nous surveillons nos assurés et qu’il n’y a pas de plaintes, est-ce que l’assureur est à blâmer ? Risque-t-il d’être condamné à une amende pour ne pas avoir porté plainte ? « . Pour les spécialistes, c’est un problème de forme du texte, une confusion qu’il faut dissiper.

Philippe Cotelle, administrateur de l’Association pour la gestion des risques et l’assurance des entreprises (Amrae) et président de sa commission cyber, a des craintes similaires. Il insiste sur le fait que « cette loi ne crée pas d’obstacle à l’indemnisation ». Il note que « l’un des attraits de la cyber-assurance est d’être à la fois présent et accompagnant lors de la gestion de crise, en termes de moyens techniques, juridiques et de communication… faisant partie de l’indemnisation de l’assureur ». Si l’indemnisation était liée à une plainte déposée dans les 48 heures, l’assistance « Clé pour minimiser l’impact des cyberattaques et améliorer la résilience des entreprises » pourrait disparaître. Philippe Cotelle estime également que cela pourrait nuire au « marché encore fragile de la cyberassurance ».

Pour beaucoup, la vraie question à se poser est celle-ci : comment renforcer le marché de la cyberassurance en France ? Philippe Cotelle note qu' »aujourd’hui ce sont surtout les très grandes entreprises qui sont suffisamment matures pour être assurées et que le cœur de l’économie française, les PME et TPE, est très mal assuré ». Le rapport annuel de l’AMRAE, LUCY, montre qu’en 2021, 82% du volume des primes est payé par les grandes entreprises. L’administrateur de l’association souligne que « cette loi, en réalité, ne s’adresse qu’à une minorité d’entreprises ». Un avis partagé par Alain Bouillé, du CESIN. Selon lui, un changement de paradigme est nécessaire dans le monde de la cyberassurance : « Pour que le marché fonctionne, il faut de l’échelle. Les cyberassureurs recherchaient ce volume auprès des grandes entreprises, mais c’est évidemment un risque plus important. En 2020, plusieurs sinistres ont menacé l’équilibre de ce marché. En conséquence, les assureurs ont durci les conditions d’assurance.

Luc Vignancour, de Beazley, entend les accusations de MSP et VSE sur le coût des primes ou la demande de questionnaires qui leur sont adressés avant qu’il ne soit garanti, mais « nous devons préserver notre équilibre économique » pour « pouvoir évaluer notre exposition au risque comme assureur », rappelle-t-il. Un exercice difficile pour un sujet aussi mouvant que les cyberattaques. Pour Alain Bouille, c’est justement dans cet aspect que « le gouvernement ferait bien de se pencher, pour attirer les petites et moyennes entreprises vers les cyber assureurs ». Selon lui, un soutien financier, sous forme par exemple d’allégements fiscaux, pourrait permettre de relever le niveau général de sécurité et permettrait un retour « au cercle normal des petits clients, des petits sinistres, des gros clients ».

Les débats parlementaires sur la LOPMI devront trouver un équilibre entre le besoin de clarification, qui pourrait profiter au marché de la cyberassurance en France, et le risque de donner l’impression que la France encourage le paiement de rançons. Plusieurs amendements, notamment du député Philippe Latombe, viseront à lever les ambiguïtés existantes. Le projet de loi d’orientation et de programmation du MUP pourrait être adopté d’ici la fin de la semaine.