Cyber-rançons : quelle indemnisation des assurances ?

Publié le - Mise à jour le

cyber_rancons_quelle_indemnisation_des_assurances
Voir toutes les actualités

Le projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI), adopté en première lecture par le Sénat le 19 octobre 2022, valide le principe de l’indemnisation des rançons payées par les entreprises, ou autres entités, suite à une cyberattaque. Retour sur les conditions d’indemnisation de ces événements par les assurances.

Une indemnisation des cyber-rançons qui fait débat

Depuis plusieurs années, les rançongiciels, également appelés « ransomwares », se multiplient. En 2021, selon le « Panorama de la menace informatique », l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a traité 203 attaques de ces logiciels malveillants qui chiffrent les données des victimes, permettant aux cybercriminels de demander une rançon en échange du mot de passe de déchiffrement. Or, les rançongiciels peuvent avoir des conséquences importantes pour les organisations victimes, tant pour la poursuite de leur activité, que pour leur pérennité financière.

Si les autorités, et notamment l’ANSSI dans son guide « Attaques par rançongiciels, tous concernés - Comment les anticiper et réagir en cas d’incident ? », déconseillent de payer les cyber-rançons, de nombreuses entreprises n’ont pas d’autre choix pour récupérer leurs données, ou pour accéder à leur système informatique. Or, à l’heure actuelle, la loi n’encadre pas l'indemnisation de ces rançons par les assurances. Chaque assureur décide donc de leur éventuelle indemnisation, et de ses conditions. Cette disparité entraîne une inégalité entre les victimes que les cybercriminels utilisent en ciblant les fichiers des assureurs : en s’en prenant aux clients qui disposent d’une couverture pour les rançongiciels, les pirates sont ainsi assurés d’être payés.

Afin de remédier à cette situation, le rapport parlementaire de 2021 sur « La cyber-assurance » recommandait d’interdire, ou au moins d’encadrer strictement, la couverture du versement des rançons par les assurances pour placer tous les assureurs sur un pied d’égalité et assécher la manne financière des cybercriminels. De leur côté, les assureurs avaient demandé, dans un communiqué de presse du 21 avril 2022 de France Assureurs, que la France et l’Union européenne clarifient leur position sur la légalité de l’assurabilité du remboursement des cyber-rançons.

Une indemnisation des cyber-rançons conditionnée à une pré-plainte

Se fondant sur les recommandations du rapport de la Direction générale du Trésor intitulé « Le développement de l’assurance du risque cyber » et publié en septembre 2022, le gouvernement a souhaité clarifier le cadre juridique de l’assurance du risque cyber. Il a pour cela instauré dans le projet de LOPMI une disposition autorisant les assureurs à indemniser les victimes, sous réserve d’un dépôt de plainte.

Le texte initial du projet de loi prévoyait que l’indemnisation des assurances suite à une cyberattaque ne serait possible que si une plainte était déposée au plus tard 48 heures après le paiement de la rançon. Toutefois, l’article 4 du projet de loi adopté par le Sénat conditionne désormais la possibilité d’être indemnisé par son assureur au dépôt d’une pré-plainte dans les 24 heures suivant l’attaque et avant tout paiement de la rançon.

Formations qui pourraient vous intéresser

tealium