Bercy tranche en faveur de l’indemnisation des cyberrançons

Bertrand De Meyer
Le Trésor estime que cette clarification juridique aidera à développer l’assurance du risque cyber en France.

Bercy clôt le débat. Après avoir lancé une consultation sur l’assurance du risque cyber à l’été 2021, la Direction générale du Trésor a publié, mercredi, un rapport sur le développement de l’assurance du risque cyber, qui propose un plan d’action pour permettre au marché français «d’atteindre sa pleine maturité».

Dans cette optique, le Trésor mise sur une clarification juridique en se positionnant notamment en faveur de l’assurabilité des cyberrançons, toutefois conditionnée «au dépôt de plainte de la victime afin de renforcer son accompagnement et d’améliorer les opérations d’investigation des autorités de police, justice et gendarmerie». Il se place dans le sens du projet de loi d’orientation et de programmation du ministère de l’Intérieur (Lopmi), présenté mercredi en conseil des ministres, qui entend aller plus loin en la conditionnant au dépôt d’une plainte 48 heures au plus tard après le versement de la rançon.

Début 2021, Johanna Brousse, chargée de la section cybercriminalité du parquet de Paris, et Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes informatiques (Anssi), avaient relancé le débat en déplorant le rôle supposé des assureurs dans l’incitation au paiement des rançons. Si un rapport du Haut Comité juridique de la place financière de Paris (HCJP) estime qu’on ne peut pas interdire aux assureurs de couvrir ces risques, certains acteurs continuent de critiquer cette position. Dans un rapport, l’ex-députée LREM Valéria Faure-Muntian, alors présidente du groupe d’études assurances à l’Assemblée nationale, s’est par exemple prononcée contre. «Ce n’est pas en déposant plainte qu’on arrête les cybercriminels, c’est en arrêtant de les financer», justifie-t-elle.

Le rapport est plutôt bien accueilli par le secteur. «Nous nous félicitons que des travaux de Place aient été menés. C’est une demande que nous formulions depuis longtemps et qui s’inscrit dans notre volonté de faire de la lutte contre les risques cyber une priorité nationale», a réagi Florence Lustman, la présidente de France Assureurs.

«Il est essentiel de donner de la clarté au sujet. Cela ne veut pas dire que tous les assureurs assureront désormais la rançon ou que la rançon est prédominante dans la sinistralité. Toutefois, ce sujet est bien le plus important pour les TPE-PME tricolores», abonde Mickaël Robart, directeur du département risques financiers de la ligne cyber chez le courtier Diot-Siaci. Selon lui, «cela s’inscrit aussi dans un contexte international, et plus particulièrement européen, à l’image du marché de l’assurance cyber. Si la France avait pris la position d’interdire le remboursement des cyberrançons, les entreprises françaises auraient été tentées de s’assurer hors de France en libre prestation de services [LPS]. Ce qui a donc un double intérêt : structurer le marché français tout en laissant la liberté aux assureurs».

Le Trésor entend également clarifier le cadre juridique de l’assurance du risque cyber en affirmant l’inassurabilité des sanctions administratives et en approfondissant le travail autour de l’exclusion du risque de guerre. Les assureurs se sont déjà emparés du sujet et ont créé un groupe de travail ad hoc au sein du comité juridique de France Assureurs, pour plancher sur la définition de guerre et pour proposer une modification du Code des assurances. Sur l’étendue des garanties cyber, une étude de l’Autorité de contrôle prudentiel et de résolution (ACPR) pourrait être conduite «pour mieux évaluer et comprendre le phénomène, insuffisamment documenté, des couvertures non affirmatives».