Une pratique courante exercée par les attaquants – et qui rend les cyberattaques si rentables – est le chiffrement des données détenues par l’organisme, chiffrement permettant de rendre illisibles ces données par l’organisme. Les attaquants demandent alors le paiement d’une rançon (d’où le nom de rançongiciel) afin de « rendre » l’accès à ces données, en procurant une clé permettant de les déchiffrer. Ce type d’attaque a des effets néfastes sur plusieurs plans, et notamment sur le plan économique. En effet, une fois les données irriguant l’activité de ces organismes chiffrées, cette activité se trouve à l’arrêt forcé.

Auparavant, la question du remboursement par les assurances des sommes versées par les entreprises touchées par un rançongiciel se trouvait dans une zone grise, les assurances étant réticentes à indemniser une somme versée à un groupe criminel. Cette position était justifiée par le fait que les autorités incitaient les entreprises à ne pas payer ces rançons, mais le besoin de clarification du cadre légal s’est fait ressentir.

C’est chose faite avec l’adoption de la Loi d’Orientation et de Programmation du Ministère de l’Intérieur (« LOPMI ») le mercredi 14 décembre 2022. L’article 4 de cette loi, qui a fait l’objet de vifs débats, porte sur l’indemnisation par les assurances des dommages causés par les cyberattaques. En parallèle de cette loi, un arrêté du 13 décembre 2022 a également été publié pour encadrer la gestion du risque cyber par les assureurs.

Si le gouvernement a souhaité intervenir sur l’indemnisation des conséquences des cyberattaques par le biais de l’adoption d’un nouveau cadre réglementaire (I), cette intervention pourrait avoir des effets contreproductifs en créant un appel d’air pour les attaquants (II).

I. Un nouveau cadre réglementaire pour la gestion du risque cyber.

C’est pour répondre au défi économique posé aux entreprises, et particulièrement aux TPE-PME, que le gouvernement s’est intéressé aux cyberattaques. Il a ainsi fait voter, dans la LOPMI, un article 4 relatif au remboursement par les assurances des dommages causés par les cyberattaques, comprenant les rançons payées par les entreprises victimes d’attaques par rançongiciel.

Ce dernier crée un article au sein du code des assurances qui prévoit que « Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé […] est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime. ». Il est intéressant de souligner que la version précédemment débattue visait le versement d’une somme en application d’une clause assurantielle « visant à couvrir le paiement d’une rançon par l’assuré dans le cadre d’une extorsion » et subordonnait cette indemnisation à un dépôt de plainte dans un délai de quarante-huit heures (il avait déjà été rallongé antérieurement, de vingt-quatre à quarante-huit heures).

Le champ d’application a donc été élargi, car l’indemnisation concerne désormais les pertes et dommages causés par l’atteinte au système d’information, sans davantage de précisions, alors que la version antérieure ne prévoyait qu’une indemnisation du montant de la rançon payée. Le terme rançon a d’ailleurs disparu de la version adoptée. De plus, le délai laissé pour déposer une plainte a été une fois de plus rallongé, passant de quarante-huit à soixante-douze heures.

Ce délai de soixante-douze heures correspond au délai retenu au sein de la directive NIS 2, également récemment adoptée, qui prévoit que les entités soumises à ses dispositions devront transmettre une alerte dans les vingt-quatre heures suivant l’incident de sécurité, alerte qui devra être complétée par une notification d’incident dans les soixante-douze heures qui suivent la découverte de l’incident de sécurité.

Les nouvelles dispositions issues de l’article 4 de la loi LOPMI ne s’appliquent qu’aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle, les particuliers étant exclus de ce nouveau dispositif.
Parallèlement à l’adoption de cette loi, un arrêté du 13 décembre 2022 a prévu l’ajout, au sein du code des assurances, de deux nouvelles catégories d’opérations dédiées au risque cyber (« dommages aux biens consécutifs aux atteintes aux systèmes d’information et de communication » et « pertes pécuniaires consécutives aux atteintes aux systèmes d’information et de communication »). Jusqu’ici, les garanties cyber étaient classées dans les catégories « dommages aux biens », « responsabilité civile » et « pertes pécuniaires ». Cet ajout permettra aux assureurs, pour les comptes ouverts à compter du 1er janvier 2023, de mieux gérer leur comptabilité et de suivre précisément l’activité de l’assurance cyber, et ce afin de leur offrir une meilleure visibilité sur la gestion de celle-ci.

L’assurance cyber a donc été intégrée dans un nouveau cadre réglementaire. Toutefois, les nouvelles dispositions risquent d’être contreproductives et de faire peser sur les entreprises françaises une menace renforcée.

II. Le risque de création d’un appel d’air pour les attaquants.

Lors des discussions portant sur l’article 4 de la LOPMI, les motivations du rapporteur du texte et du gouvernement, défendant une logique d’indemnisation des rançons payées par les entreprises, ont été mises en lumière à de nombreuses reprises. L’objectif de cette réforme est de pousser les entreprises à déposer plainte afin que les attaques soient connues des forces de l’ordre et qu’elles soient donc mieux comptabilisées. Cela a vocation à permettre le développement des enquêtes liées aux cyberattaques.
Au-delà du fait que cette réforme ne permettra pas de mieux lutter contre les cyberattaques, qui sont rendues possibles du fait du manque de sécurité des systèmes d’information des TPE-PME, elle risque d’avoir un effet contreproductif et de créer un appel d’air pour les attaquants.

Lors des débats tenus à l’Assemblée nationale concernant cet article 4, la position de Guillaume Poupard, à l’époque président de l’Agence Nationale de la sécurité des systèmes d’information (ANSSI), avait été rappelée par certains députés. Ces derniers ont ainsi souligné que payer des rançons aux attaquants revenait à injecter de l’argent dans un système qui irrigue la criminalité organisée, mais également à accroître le risque pour les TPE-PME qui seraient dès lors plus exposées, l’étiquette de « bon payeur » revenant à leur coller une cible dans le dos.

Ainsi, une étude a pu révéler que plus d’un tiers (36%) des entreprises touchées par un rançongiciel avait fait l’objet d’attaques ultérieures, une fois la rançon payée. [1]

Par ailleurs, il faut rappeler que le paiement d’une rançon ne garantit en rien qu’une clé de déchiffrement sera effectivement remise à l’organisme qui a payé, ou que les données restituées n’auront pas été corrompues.

Par conséquent, si les nouvelles dispositions issues de l’article 4 de la LOPMI permettront d’améliorer le recensement des cyberattaques, les cybercriminels attaquant par le biais d’un rançongiciel verront augmenter la probabilité de voir les fonds demandés payés par les entreprises assurées. Une aubaine pour les pirates.