ransomware-rancongiciel-bientot-assurable
Partager l'article



*


Informations sur la gestion de vos données




Les rançongiciels bientôt assurables ?

Article rédigé le 11 octobre 2022 par Me Laurence Huin

En ce cybermoi/s, on ne peut parler de cybersécurité sans parler de cyberassurance. En matière d’assurance du risque cyber, un bouleversement majeur est actuellement à l’œuvre devant le Parlement au travers du projet de loi d’orientation et de programmation du ministère de l’intérieur (LOPMI). Si le texte est voté, les rançongiciels pourront être désormais assurés d’après l’article 4 du projet de loi. Décryptage de ce nouveau paradigme dans le présent article.

 

 

Un changement de paradigme

Il est vrai que l’article 4 du projet de loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) prévoyant l’assurabilité des rançons versées par les victimes de rançongiciels (ransomware) marque un changement de cap majeur.

En effet, le gendarme français de la sécurité informatique, l’ANSSI (l’Agence Nationale de Sécurité des Systèmes d’Information), indiquait que les rançons exigées lors de cyberattaques en échange des clés de déchiffrement des données ne devaient pas être payées. C’est ce qui était indiqué dans son guide « Attaques par rançongiciels, tous concernés – Comment les anticiper et réagir en cas d’incident ? ».

De même un rapport parlementaire, publié en octobre 2021, établissait 20 propositions destinées à améliorer la couverture des entreprises face à l’explosion des cyberattaques. Parmi ces propositions deux ont retenu l’attention des juristes :

    • l’interdiction pour les assureurs de garantir et d’indemniser le paiement des rançons, en cas d’attaque par rançongiciel afin d’éviter toute incitation pour les cybercriminels ;
    • l’autorisation pour les assureurs de couvrir et prendre en charge les amendes administratives dont la légalité fait débat au sein de la doctrine.

 

On comprend donc que le projet de loi marque un changement de cap.

 

L’assurabilité des rançons prévue dans le projet de loi

L’article 4 du projet de loi LOPMI déposé sur le bureau du Sénat le 7 septembre 2022 prévoit la création d’une nouvelle disposition au sein du Code des assurances afin de permettre « Le versement d’une somme en application d’une clause assurantielle visant à couvrir le paiement d’une rançon par l’assuré dans le cadre d’une extorsion prévue à l’article 312-1 du code pénal, lorsqu’elle est commise au moyen d’une atteinte à un système de traitement automatisé de données prévue aux articles 323-1 à 323-3-1 du même code, est subordonné à la justification du dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard 48 heures après le paiement de cette rançon ».

La teneur de cet article était déjà connue. En effet, cet article est la reprise exacte de l’article 5 du précédent projet de loi déposé par le Gouvernement sur le bureau de l’Assemblée nationale en mars dernier mais qui avait été retiré en raison du renouvellement de l’Assemblée nationale en juin 2022.

De plus, la thèse de l’assurabilité des rançongiciels avait été à nouveau conforter par le tout récent rapport de la Direction générale du Trésor sur Le Développement de l’assurance du risque cyber qui conditionne « l’indemnisation d’une assurance cyber-rançons au dépôt de plainte de la victime ».

 

La condition du dépôt de plainte

Si le projet de loi déposé n’interdit par les assureurs de garantir les rançongiciels, il encadre les clauses de remboursement des rançongiciels par les assurances en conditionnant ce remboursement au dépôt rapide d’une plainte par la victime dans un délai maximal de 48h à compter du paiement de la rançon.

Ainsi, l’analyse d’impact du projet de loi entend par ce mécanisme de dépôt de plainte permettre aux autorités compétentes de bénéficier des informations nécessaires à la poursuite des infractions et affecter par la voie judiciaire les capacités de groupes cyber criminels.

 

Si nous pouvons rester perplexes sur le mécanisme du dépôt de plainte comme levier de poursuite des infractions cyber, ce projet de loi a le mérite de lever le tabou du paiement des rançons par les assureurs. Reste plus qu’à lever celui du remboursement des amendes administratives, telles que celles prononcées par la CNIL ou l’Autorité de la concurrence.

 

Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.