Présenté en conseil des ministres le 16 mars 2022, le projet de loi d’orientation et de programmation du ministère de l’Intérieur 2022-2027 qui s’inscrit dans la suite du Beauvau de la sécurité (conduit entre février et septembre 2021)prévoit notamment d’ajouter au Code des Assurances un chapitre sur l’assurance des risques de cyberattaque.
Pour rappel, début juillet 2021, la direction générale du Trésor avait lancé un groupe de travail ainsi qu’une consultation publique sur la question des assurances cyber. Guillaume Poupard, le directeur général de l’agence nationale de la sécurité des systèmes informatiques (Anssi) avait finalement, lors des Assises de la cybersécurité, revu sa position en privilégiant le recours à l’encadrement du paiement des rançons, partageant ainsi la position du Haut comité juridique de la place financière de Paris qui avait dans son rapport conclu notamment à la licéité du paiement des rançons et à la possibilité de leur couverture assurantielle…
La LOPMI propose donc de conditionner, en cas de rançongiciel, le remboursement de la rançon à un dépôt de plainte, en disposant que:
« Le versement d’une somme en application d’une clause assurantielle visant à couvrir le paiement d’une rançon par l’assuré dans le cadre d’une extorsion prévue à l’article 312-1 du code pénal,lorsqu’elle est commise au moyen d’une atteinte à un système de traitement automatisé de données prévue aux articles 323-1 à 323-3-1 du même code,est subordonné à la justification du dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard 48 heures après le paiement de cette rançon. »
Le ministère de l’Intérieur a donc ainsi décidé de ne pas interdire le paiement des rançons.
Ce projet de loi doit désormais être soumis au vote du Parlement.
