Le ministère de l'Économie désire que les entreprises puissent bénéficier du remboursement par les assurances du montant des rançons qu’elles ont dû payer aux cybercriminels pour récupérer leurs données. Cette disposition figure maintenant dans le projet de loi du ministère de l'Intérieur qui a été présenté ce mercredi 7 septembre.
Selon certains experts en cybersécurité, ce texte entérinerait une forme de légalisation du paiement des rançons, au détriment des moyens alloués à la prévention des cyberattaques. La Direction générale du Trésor a rendu un rapport préconisant que les compagnies d’assurance puissent rembourser aux entreprises les rançons demandées par les pirates informatiques. Les sociétés victimes d’extorsion de données devront toutefois déposer plainte sous 48 heures après le paiement de la rançon pour pouvoir être indemnisées.
« Ce projet de loi, qui s'appuie sur les travaux de notre groupe de travail, constitue un point d'équilibre entre la volonté de ne pas financer l'écosystème des cyberattaquants et la volonté d'éviter la mort de PME et TPE touchées par une attaque », argumente le ministère de l'Économie. La disposition est maintenant incluse dans le projet de loi d'orientation et de programmation du ministère de l'Intérieur, qui a été présenté ce mercredi en Conseil des ministres.
La crainte d'alimenter la cybercriminalité
Mais certains experts en cybersécurité craignent pourtant que cette disposition participe au financement de la piraterie informatique. L'Agence nationale de la sécurité des systèmes d'information (Anssi), par exemple, est totalement contre, prônant plutôt l’interdiction de verser des rançons. Cela revient à « se tirer une balle dans le pied en alimentant la criminalité », s’insurge Jean-Noël DeGalzain, le patron de l’éditeur européen de logiciel de cybersécurité Wallix et expert en sécurisation des accès et des identités pour les grands comptes.
« Si le projet de loi, c’est de faire de la gestion de crise permanente et d’accepter une négociation qui consiste à payer systématiquement le cybercriminel – parce que c’est couvert par l’assureur – à ce moment-là, on va institutionnaliser le cybercrime. Ensuite, on lance une stratégie nationale de cybersécurité avec un plan d’équipement pour les plus fragiles, en particulier, les hôpitaux. Est-on en train de dire que ces plans d’équipement vont comporter des financements publiques qui vont notamment servir à payer la cybercriminalité ? Je ne comprends pas la cohérence de ce projet. La règle pour tous est évidement de ne pas payer systématiquement et d’alimenter le cybercrime. C’est aussi simple que ça. »
Le nouveau texte législatif passera au Parlement dès le mois prochain. Bercy indique dans un communiqué qu’il s’agit d’une clarification du cadre juridique du Code des assurances, rappelant que jusqu'à présent, aucune loi n'autorise ou interdit le paiement d'une somme à un groupe de pirates en France. Le projet de loi inclut également la création d'un observatoire des cybermenaces chargé spécifiquement de contrôler les pratiques des assureurs. Cette nouvelle instance sera mise en place d’ici la fin du mois de septembre.
►À écouter : Sommes-nous condamnés à être espionnés?
