La victime pourra uniquement être indemnisée si elle a déposé une plainte.
Pour le ministère de l’Économie, les victimes d’attaques par rançongiciel pourront être indemnisées par les assureurs. Dans un rapport publié le 7 septembre, la direction générale du Trésor indique qu’elle ne s’oppose pas à cette mesure comportant une condition : que la victime porte plainte. Elle a été introduite dans le projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) en cours d’examen au Parlement. Concrètement, l’indemnisation des cibles serait uniquement possible si celle-ci dépose une plainte dans les 48 heures après le paiement.
« Alors que de nombreuses victimes renoncent à déposer plainte afin de préserver leur image, une telle mesure permettrait de faciliter les investigations en informant systématiquement les autorités judiciaires et en permettant de mieux connaître les méthodes des cybercriminels », justifie Bercy. Le ministère indique cependant que le paiement de la rançon est une option de dernier recours pour préserver les victimes, celles-ci devant être incitées à adopter de bonnes mesures de protection cyber avec les conditions de souscription des contrats d’assurance du risque cyber.
Les risques d’une indemnisation
Cette décision met fin à une zone grise, l’indemnisation par les assureurs des rançons n’étant pas prohibée par le droit français, mais pouvant encourager la cybercriminalité. Le ministère de l’Économie en a d’ailleurs conscience, indiquant dans son rapport que « le paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités, entretient ce système frauduleux et est susceptible de contribuer au financement du terrorisme ». Une étude de Cybereason publiée en juin a, de plus, démontré que le paiement de la rançon ne signifie pas forcément que les entreprises récupèrent l’entièreté de leurs données, mais aussi qu’elles peuvent par la suite être victimes d’une seconde cyberattaque.
Accusées d’encourager les attaques par rançongiciel, des assureurs comme Axa France et Generali France ont décidé de ne plus indemniser les victimes qui paient la rançon. Des décisions également prises le temps d’y voir plus clair concernant le cadre d’intervention de l’assurance étant donné qu’un rapport parlementaire proposait d’interdire l’indemnisation il y a un an. Pour la direction générale du Trésor, il est nécessaire de développer l’assurance cyber qui ne représente que 3% des cotisations en assurance dommage des professionnels. Pour cela, elle considère qu’il faut, entre autres, mieux mesurer les préjudices et accroître les efforts de sensibilisation des entreprises. Elle explique en effet que les sociétés sous-estiment ou ont une difficulté à appréhender le risque cyber et que les assureurs ont, eux, du mal à évaluer ses impacts.