Adoption du projet de loi sur les rançons cyber
6 déc. 2022
La Commission mixte paritaire a adopté le 3 décembre le projet de loi sur les rançons cyber.
Adoption du projet de loi sur les rançons cyber
La commission mixte paritaire (CMP) a adopté le 2 décembre, le projet de loi d’orientation et de programmation du ministère de l’Intérieur.
L'article 4 relatif au paiement des rançons est définitivement acté. Celui-ci indique que "Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323‑1 à 323‑3‑1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante‑douze heures après la connaissance de l’atteinte par la victime. Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. Il entre en vigueur trois mois après la promulgation de la présente loi".
Une stratégie d'assèchement des rançons
Ce dispositif vise à casser le modèle économique des cyberdélinquants. En effet, les clauses de remboursement des rançons par les assurances contre les cyberattaques seront mieux encadrées et les paiements de rançons car les victimes devront déclarer aux forces de sécurité ou à l’autorité judiciaire, pour que les services compétents disposent des informations nécessaires pour poursuivre les auteurs de l’infraction.
La clause assurantielle visant à couvrir un tel risque ne pourrait être mise en œuvre que dans la mesure où les forces de sécurité ou l’autorité judiciaire ont été informées par un dépôt de plainte.
"Cette stratégie consiste à attaquer le modèle de rentabilité de l’écosystème cybercriminel afin de décourager les cyberattaquants. En effet, si la position des services compétents a toujours été de recommander le non‑paiement des rançons, la dégradation rapide de la situation appelle une action publique plus déterminée afin de s’assurer que, dans les cas où une rançon a été payée, les autorités compétentes disposent des informations nécessaires pour poursuivre les auteurs de l’infraction. La régulation de la couverture assurantielle du paiement de rançons apparaît ainsi comme nécessaire" explique les rapporteurs de la commission mixte paritaire.
Pour mémoire, en 2020, une entreprise sur cinq déclare avoir subi au moins une attaque par rançongiciel au cours de l’année et 58 % des cyberattaques ont eu des conséquences avérées sur l’activité économique, avec des perturbations sur la production dans 27 % des cas.
Patrice Remeur pour Prorisk cyber