Le 24 janvier 2023, la loi d’orientation et de programmation du ministère de l’intérieur, dite LOPMI, a été adoptée. Elle vise à répondre aux enjeux sécuritaires et territoriaux liés à la transformation numérique. Car le numérique, source d’opportunités, est également source de nombreux risques, en particulier les cyberattaques, et plus généralement les “cyber-risques”. 

Face à l’augmentation toujours plus importante des cyber-risques, une assurance dédiée s’est peu à peu développée. Trouvant ses origines aux États-Unis, l’assurance des cyber-risques reste embryonnaire en France, et de nombreuses questions controversées persistent. La LOPMI (article 5) tente de répondre à l’une d’entre elles : l’assureur peut-il indemniser son assuré qui a payé une rançon après avoir été victime d’un rançongiciel (ou ransomware) ?

Qu’est-ce qu’un rançongiciel ?

Un rançongiciel consiste en une intrusion dans le système informatique d’un utilisateur,  qui l’empêche d’accéder à ses données. Ensuite, l’auteur de l’attaque fournit des instructions à la victime pour payer une rançon et retrouver ses données.  Il s’agit de  la première menace cyber en France selon l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Le nombre d’attaques par rançongiciel aurait d’ailleurs augmenté de 255 % en 2020 seulement en France selon France Assureurs.

L’assurance et l’indemnisation des rançongiciels en question

Le projet de loi prévoyait de faire en sorte que la victime d’une cyberattaque ayant versé une cyber-rançon puisse s’assurer contre ce risque et obtenir une indemnisation auprès de son assureur. Ce point a fait l’objet de nombreux débats lors de l’élaboration de la loi. Certains estiment qu’il n’y pas d’obstacles à l’indemnisation d’une cyber-rançon par un assureur. Par ailleurs, si l’assurance des attaques avec rançongiciel était interdite, cela nuirait, à l’échelle internationale, à la concurrence des entreprises françaises (industrielles et d’assurance). D’autres au contraire, à l’instar de l’ANSSI, pensent qu’il faut l’interdire toute indemnisation des cyber-rançons, car cela risque d’encourager les actes de cybercriminalité, d’autant plus que le paiement de la rançon ne garantit en rien une coopération du cybercriminel.

Un cadre légal pour l’assurance des cyber-risques

Désormais, la loi LOPMI crée un article L. 12-10-1 dans le Code des assurances, qui fait entrer l’assurance des cyber-risques dans le droit  des assurances. Finalement, le terme “rançon” ne figure plus dans le texte adopté. Est prévue l’indemnisation des “pertes et dommages” causés par une atteinte à un système de traitement automatisé de données, laquelle est subordonnée au dépôt de plainte de la victime dans les 72 heures suivant sa connaissance de l’infraction. Le champ d’application de cette loi irait alors au-delà des seuls rançongiciels (par exemple, en prenant en compte le coût de reconstitution des données après une cyberattaque).

Ainsi, pour être indemnisée par son assureur en cas de cyberattaque, la victime doit avoir non seulement souscrit un contrat d’assurance qui permette une telle indemnisation (ce qui devra être vérifié au cas par cas avec son assureur), mais aussi déposé plainte dans le délai indiqué par la loi. Par ailleurs, le texte ne s’adresse qu’aux professionnels. Les particuliers, qui peuvent tout de même souscrire un contrat de cyber-assurance, ne sont pas soumis à ces exigences. 

Un doute persiste

Attention toutefois : en autorisant une assurance pour “pertes et dommages” causés par une atteinte à un système, le législateur a supprimé la rançon du texte. Est-ce que cela signifie que les attaques par rançongiciels sont assurables pour les seules pertes et dommages en dehors de la rançon, ou la rançon est-elle comprise dans ces pertes et dommages ? 

En clair, tant que le juge n’a pas apporté son interprétation de la loi nouvelle, il revient aux assurés de rester prudents et de se renseigner auprès de leurs assureurs afin de savoir si une prise en charge est prévue en cas de paiement d’une cyber-rançon.

Soulignons toutefois qu’il s’agit d’un premier pas vers un cadre légal de la cyber-assurance permettant de sensibiliser les professionnels aux cyber-risques, et les incitant à devenir de véritables acteurs de leur cybersécurité.

Une erreur dans ce contenu ? Vous souhaitez soumettre une information à vérifier ? Faites-le nous savoir en utilisant notre formulaire en ligne. Retrouvez notre politique de correction et de soumission d'informations sur la page Notre méthode.