Le 7 septembre, la direction générale du Trésor avait donné son feu vert à l’assurabilité des cyber-rançons (ransomware), sous condition d’un dépôt de plainte dans les 48 heures.
Cette disposition figure à l’article 4 du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI), adopté par le Sénat mercredi soir.
« Vous auriez pu déposer des amendements pour interdire l’assurance des rançons »
La disposition a fait néanmoins débat. Quatre amendements de suppression de l’article ont été déposés. Un tel dispositif serait une forme de pousse au crime pour les auteurs des amendements. « Les acteurs du secteur estiment que cette autorisation risque d’encourager le cybercrime, voire la récidive, la propagation d’intermédiaire douteux lors des négociations et de favoriser l’exercice d’une pression de la part des assureurs auprès de leurs clients pour les forcer à payer la rançon si celle-ci s’avère moins élevée que les frais de remédiation », a fait valoir le sénateur LR, François Bonhomme.
Mais pour le rapporteur Marc-Philippe Daubresse (LR) et le ministre de l’Intérieur, l’argument ne tient pas. « Aujourd’hui des entreprises ou des établissements s’assurent sans qu’on le sache. Donc on a beaucoup moins de moyens de lutter contre la cybercriminalité que si on avait un dépôt de plainte », a fait valoir le sénateur du Nord.
« Vous auriez pu déposer des amendements pour interdire l’assurance des rançons. Ça aurait été conforme à votre défense des amendements. Nous, on dit : on ne peut assurer les entreprises que si elles déposent plainte », a renchéri Gérald Darmanin
L’argument a porté, car François Bonhomme et Nathalie Goulet (centriste) ont retiré leur amendement. François Bonhomme considère toutefois « qu’une ambiguïté » subsiste par rapport à la position de l’ANSSI (agence nationale de la sécurité des systèmes d’information).
« Il ne faut évidemment pas payer les rançons »
En effet, le rapport d’information du Sénat intitulé, « La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ? », rappelait que l’agence nationale de la sécurité des systèmes d’information qui conseillait en août 2020 « de ne jamais payer la rançon ». « Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux. »
« Nous ne changeons pas de doctrine. Il ne faut évidemment pas payer les rançons. Mais les assurances existent pour payer une rançon », a assuré le ministre estimant que la position du gouvernement est la moins mauvaise des solutions ».
Le sénateur socialiste, Rémi Cardon, co-auteur du rapport d’information cité plus haut, a fait adopter son amendement qui conditionne l’assurance de la rançon au dépôt d’une pré-plainte dans les 24h suivant l’attaque et avant tout paiement afin de « réduire le nombre de rançons versées ». « L’idée est d’aller plus vite, car lors d’une attaque les heures sont comptées », a-t-il souligné.
Issu des préconisations de son rapport, le sénateur a déposé, sans succès, un autre amendement conditionnant l’assurance de la rançon à l’utilisation par la victime d’un système de protection labellisé par l’ANSSI (agence nationale de la sécurité des systèmes d’information).
Prématuré pour le rapporteur qui a déclaré : « Pour les petites structures, un plan de prévention du risque cyber, c’est une montagne ».
Enfin, avant la suspension de séance, le Sénat a adopté un amendement du gouvernement qui fixe dans la loi un investissement de 2 milliards d’euros pour créer le nouveau réseau radio du futur (RRF) qui prévoit de remplacer l’intégralité des réseaux de radio de la police, de la gendarmerie et des services de la sécurité civile. « Je signerai ce marché demain. Ce sont des entreprises françaises qui ont remporté le marché avec notamment l’entreprise Airbus avec l’opérateur Bouygues Telecom, a-t-il annoncé.
