Le Sénat a validé la semaine dernière un texte qui permettra aux entreprises victimes de cyberattaques de se faire rembourser après le versement d’une rançon. Mais pour cela, une plainte devra être déposée sous 24 h et avant tout paiement.
Hausse des cyberattaques depuis l’apparition du Covid-19
Mercredi 12 octobre, le Sénat a adopté le projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI), qui doit fixer la trajectoire budgétaire pour les cinq années à venir. La chambre haute a ainsi validé l’article 4 portant sur l’indemnisation des rançons payées en cas d’attaque informatique.
Ce texte vise à lutter contre la cybercriminalité, qui ne cesse de prendre de l’ampleur depuis le début de la pandémie. En mars 2022, l’Agence nationale de la sécurité des systèmes d’information (Anssi) faisait état de 1 082 intrusions avérées dans des systèmes d’information en 2021. Soit une hausse de 37% par rapport à 2020 (786 cas). Ce chiffre pourrait être plus important car de nombreuses attaques ne sont pas déclarées par les entreprises victimes.
Une pré-plainte à déposer dans les 24H
Si l’article 4 soutenait au départ qu’une entreprise devrait déposer plainte au plus tard 48 heures après le paiement de la rançon pour bénéficier d’un remboursement par son assurance, les amendements apportés par les sénateurs fixent désormais 24H pour y avoir droit.
Aussi, il s’agit dorénavant d’une pré-plainte déposée avant tout paiement. Selon le ministre de l’Intérieur Gérald Darmanin, ces dispositions ont pour objectif d’aller plus vite en cas de ransomwares et ainsi de réduire le nombre de rançons versées. « On ne peut assurer les entreprises que si elles déposent plainte » fait-il valoir.
Un signal fort aux assureurs mais aussi aux pirates
En France, certains assureurs ont déjà proposé par le passé une garantie de remboursement plafonné du paiement d’une rançon après une attaque au rançongiciel. C’est le cas d’Axa. Mais le groupe français a suspendu son offre « ransomware » dans l’attente d’une réglementation claire et précise sur le sujet.
L’article 4 vient donc donner un signal fort aux assureurs, mais pas qu’à eux. En effet, il pourrait aussi encourager les hackers à se montrer plus hardis. Ces pirates informatiques seront tentés de profiter de la nouvelle législation pour multiplier les intrusions et surtout faire grimper les enchères. Ils vont aussi certainement copier les données (au lieu de les effacer) pour un nouveau chantage.
En opposition avec l’avis de l’ANSSI
On pense ainsi que l’article 4 serait une sorte de pass-droit au cybercrime et à la récidive. « Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux », souligne un rapport d’information du Sénat publié en juin 2021.
Par ailleurs, il subsiste une ambigüité par rapport à la position de l’ANSSI. En août 2020, l’agence conseillait « de ne jamais payer la rançon ». Mais Gérald Darmanin assure que le remboursement par les assurances reste « la moins mauvaise des solutions ». Aussi, cette disposition permettra au moins de connaître le nombre exact des attaques informatiques impliquant une rançon.
