C’est un sujet délicat auquel s’attaque le gouvernement et Bercy en particulier : la cyber-assurance. A la suite d’un rapport de la direction générale du Trésor sur ce marché (initié il y a un peu plus d'un an), le ministère de l’Economie et des Finances a proposé en Conseil des ministres du 7 septembre, « une mesure dédiée aux cyber-rançons au sein du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) ». Dans le communiqué, il est précisé que cette mesure concerne l’obligation pour les victimes de déposer une plainte pour être indemnisée.
Il s’agit d’une des propositions du rapport du Trésor, qui souhaite « conditionner l’indemnisation d’une assurance cyber-rançon au dépôt de plainte de la victime afin de renforcer son accompagnement et améliorer les opérations d’investigation des autorités de police, de justice et de gendarmerie ». La proposition peut apparaître surprenante aux premiers abords, car le message martelé par les autorités est de ne pas payer les rançons en cas d’attaques. Mais de la théorie à la pratique, il y a souvent un fossé. Certaines PME-PMI n’ont souvent pas d’autres choix de payer pour tenter de récupérer leurs données ou l’accès à leur système. Par contre, les victimes sont peu nombreuses à se faire connaître et à déposer plainte.
Structurer un marché en plein doute
Sur le volet cyber-assurance, cette décision remet les acteurs du marché dans le jeu à un moment où plusieurs assureurs avaient jeté l’éponge. Axa et Generali avaient cessé de proposer des contrats couvrant les dommages liés à des rançongiciels. Les parlementaires s’étaient inquiétés dans un rapport d’un lien entre cyberattaque et cyber-assurance. Les entreprises disposant d’une couverture devenaient ainsi une cible privilégiée des pirates, étant sûrs d’être payés. Guillaume Poupard, directeur général de l’Anssi, avait aussi taclé les assureurs qui, « se focalisent sur les rançons et se dotent de capacités à négocier ». Une porte ouverte à l’arrivée d’intermédiaires peu scrupuleux.
Le rapport du Trésor tente donc de clarifier le cadre juridique pour l’ensemble des acteurs. Outre l’indemnisation des victimes avec obligation d’un dépôt de plainte, l’administration plaide pour « un principe général d’inassurabilité des sanctions administratives », c’est-à-dire de ne pas couvrir les amendes potentielles liées à la non-conformité avec un cadre réglementaire, comme le RGPD. Parmi les autres recommandations, le rapport donne des pistes de solutions : « L’assurance paramétrique qui permet le versement automatique d’une prestation établie en fonction d’un indice mesurable automatiquement, le développement de solutions d’auto-assurance telles que les captives de réassurance pourrait permettre de créer un marché de l’assurance du risque cyber ». Pour réfléchir à ces différentes propositions et à d'autres sujets (exclusion des actes de guerre, formulaire à remplir, etc.), une task force réunissant l’ensemble des acteurs sera installée fin septembre.