Après un parcours législatif long et difficile, l’Assemblée Nationale a adopté ce 22 novembre les articles législatifs et amendements concernant la lutte contre la cybercriminalité dans le projet de loi LOPMI. Un texte qui doit encore être débattu en commission mixte paritaire. En bref, cette disposition ajoutée au code des assurances et qui est en parfaite contradiction avec les préconisations de l’ANSSI, permettra de compenser une partie des pertes dues à une attaque, pour autant que les victimes déposent une plainte auprès des autorités compétentes au plus tard quarante‑huit heures après la constatation de l’infraction. Sans ce dépôt de plainte, elles ne seront pas indemnisées de leurs pertes d’exploitation et autres ou de leurs dommages. Une évolution significative.
Alors que les revenus du cybercrime, en forte augmentation depuis 2018, représentaient 6000 milliards de dollars en 2021, l’enjeu financier est de taille pour toutes les parties concernées : assureurs, entreprises, institutions. Le principe des rançongiciels, une partie du cybercrime, est désormais bien connu : sous condition de versement d’une rançon qui peut monter jusqu’à plusieurs millions d’euros, les pirates numériques envoient aux victimes les clés de décryptage des médias qu’ils ont chiffrés. Or, malgré le paiement de la rançon, il est fréquent que les victimes ne reçoivent pas ces clés. L’article 4 de la loi LOPMI peut pousser les cybercriminels à poursuivre leurs activités et entretenir leurs activités criminelles, sachant que les entreprises sont susceptibles d’être couvertes par une police d’assurance ad-hoc.
Une pression accrue des pirates sur leurs victimes
La récente affaire concernant le groupe Altice qui a refusé de payer la rançon demandée suite à une attaque et qui a vu ses données sensibles dérobées puis diffusées publiquement, montre la détermination des cyberattaquants. La mise en application de l’article 4 de la loi LOPMI induit une faille potentielle qui va désigner la France comme une cible privilégiée par les attaquantsA noter cependant, pour l’instant le texte ne concerne que les entreprises et les professionnels ayant souscrit un contrat de cyberassurance. Selon le baromètre LUCY de l’Amrae il s’agit surtout des grands comptes, soit 84% des grandes entreprises (+1,5Md€de CA), 9% des ETI (50M à 1,5Md€ de CA) et 0,2% de PME et TPE.
Reste à analyser les décrets finaux d’application pour connaitre toute la portée de l’article 4 de la loi LOPMI. L’Anssi qui a toujours été vent debout contre le paiement des rançons est maintenant en porte-à-faux avec ces dispositions législatives nationales et devra se positionner.