Tribunes

La cyber assurance pour indemniser les cyber-attaques : un cadre légal contraignant

Christiane Féral-Schuhl, avocat associé du cabinet Féral

Le projet de loi d'orientation et de programmation du ministère de l'intérieur (LOPMI) propose un cadre réglementaire afin d'obliger les assureurs à indemniser les entreprises victimes d'attaques par ransomware ayant payé une rançon. Si le sujet divise, en pratique l'indemnisation serait soumise à un certain nombre de conditions.

PublicitéAvec 1 945 demandes d'assistance auprès de l'assistance en sécurité numérique (2), en hausse de plus de 95 % par rapport à 2020, les rançongiciels restent en 2021 la première menace qui cible les professionnels.

Face à ce constat et suite à la publication du rapport du Trésor (2), le projet de loi d'orientation et de programmation du ministère de l'intérieur (LOPMI) (3) propose un cadre réglementaire afin d'obliger les assureurs à indemniser les entreprises victimes d'attaques par ransomware, lorsque celles-ci paient la rançon demandée.

Cette assurabilité sous conditions provoque de vives réactions dans la communauté des professionnels de la cybersécurité.

Selon une étude de la société Cybereason (4), menée en avril 2021 auprès de 1 263 professionnels de la sécurité (dont 150 Français), payer la rançon serait déconseillé puisque 60 % des entreprises françaises et 80 % des entreprises dans le monde l'ayant fait ont été attaquées une seconde fois et que 53 % des entreprises françaises estiment que leurs données ont tout de même été compromises.

Certains considèrent ainsi que l'assurance cyber est de nature à favoriser les risques de récidives lorsque la victime est estampillée « bon payeur » par la communauté des cybercrimes. De même, les assureurs pourraient inciter leurs clients à payer la rançon lorsque celle-ci s'avère moins élevée que les coûts de remédiation ! De quoi encourager le cybercrime, notamment les risques de blanchiment des capitaux et de financement du terrorisme ! C'est la raison pour laquelle, dans son rapport visant à améliorer la cyber assurance en France, le groupe d'études de l'Assemblée nationale proposait d'interdire aux assureurs de garantir, couvrir ou indemniser la rançon et de sanctionner les entreprises, administrations ou collectivités qui procèdent au paiement des rançons.

Pouvoir poursuivre les auteurs d'infractions

Mais, pour le Haut Comité juridique de la place ﬁnancière de Paris, créé à l'initiative de l'AMF et de la Banque de France, une telle interdiction n'enrayerait pas la cybercriminalité. Au contraire, elle serait de nature à pénaliser d'une part les assureurs, à raison du déséquilibre concurrentiel qui en résulterait pour eux, d'autre part des entreprises qui subiraient de ce fait un déséquilibre économique important, car elles seraient moins bien protégées que leurs homologues étrangères. Le ministère considère ainsi que « si la posture des services compétents a toujours été de recommander le non-paiement des rançons, la dégradation rapide de la situation appelle à une action publique plus déterminée afin de s'assurer, que dans les cas où une rançon a été payée, les autorités compétentes disposent des informations nécessaires pour poursuivre les auteurs de l'infraction ».

PublicitéLa cyber assurance pour indemniser les dommages en cas de cyber attaques semble donc envisageable mais à certaines conditions :
- La garantie doit être conditionnée par un dépôt de plainte. Le projet de loi a suivi les recommandations du Trésor en conditionnant l'assurance au dépôt d'une plainte dans les 24h suivant l'attaque, et avant tout paiement de cette rançon, et au plus tard quarante-huit heures après la constatation de l'atteinte.
- Les informations doivent être partagées avec les services publics en charge de la lutte contre les cybercriminels.
- Une liste des rançongiciels et des variants identifiés ou fortement soupçonnés d'être lié à une organisation terroriste doit être publiée par une autorité publique, par exemple l'ANSSI .
- Le marché des cryptoactifs doit faire l'objet d'une meilleure régulation puisque les paiements des rançons se font souvent par cette monnaie. À ce titre, le projet de loi facilite la saisie des cryptoactifs par les officiers de police judiciaire .
- Enfin, le Trésor préconise d'affirmer l'inassurabilité des sanctions administratives et de potentiellement exclure la garantie en cas de cyberguerre.

Il s'agit toutefois d'une solution de dernier recours. En effet, les entreprises devront continuer à adopter des bonnes mesures de protection cyber pour consolider la robustesse de leur système informatique et bloquer les tentatives d'intrusion.

1. cybermalveillance.gouv.fr
2. Rapport de la Direction générale du Trésor : « Le développement de l'assurance du risque cyber »
3. Dossier législatif du Sénat : projet de loi d'orientation et de programmation du ministère de l'Intérieur
4. Lire l'étude de la société Cybereason

Article rédigé par

Christiane Féral-Schuhl, cofondatrice du cabinet FÉRAL
Christiane Féral-Schuhl est avocate associée du cabinet FÉRAL. Depuis plus de 35 ans, elle exerce dans le secteur du droit du numérique, des données personnelles et de la propriété intellectuelle. Elle est également inscrite sur la liste des médiateurs auprès de différents organismes (OMPI, CMAP, Equanim) ainsi que sur la liste des médiateurs de la Cour d'Appel de Paris et du Barreau du Québec (en matière civile, commerciale et travail). Elle a été nommée seconde vice-présidente du Conseil national de la Médiation (2023-2026).

Elle a publié plusieurs ouvrages et de nombreux articles dans ses domaines d'expertise. Dont, tout récemment, « Adélaïde, lorsque l'intelligence artificielle casse les codes » (1ère BD Dalloz, 16 mai 2024) avec l'illustratrice Tiphaine Mary, également avocate.

Elle a présidé le Conseil National des Barreaux (2018-2020) et le Barreau de Paris (2012- 2013). Elle a également co-présidé avec le député Christian Paul la Commission parlementaire sur le droit et les libertés à l'âge du numérique et a siégé au Haut Conseil à l'égalité entre les femmes et les hommes (2013-2015) et au Conseil Supérieur des tribunaux administratifs et des cours d'appel administratives (CSTA CAA -2015-2017).
Suivez l'auteur sur Linked In, Twitter