Projet de loi indemnité des rançons – Djamila Midiladji
Dans le contexte géopolitique actuel, marqué par les nombreux conflits inter et intra pays, certaines guerres peuvent ne pas forcément être visibles et pourtant, faire tout autant de dégâts : il s’agit des cyberattaques. Celles-ci peuvent prendre plusieurs formes et prôner les mêmes motivations : l’appât du gain, atteinte à la réputation d’une personne ou d’une entreprise ou sa politique, etc.
Cette technique est notamment utilisée par l’Ukraine dans la guerre qui l’oppose à la Russie. L’Ukraine utilise des outils d’automatisation qui provoquent des perturbations importantes pouvant être remarquées lors du journal télévisé notamment. La Russie fait de même, dans le but de déstabiliser son adversaire. L’Ukraine a vu deux de ses banques publiques être victime de sabotage et notamment le service en ligne complètement perturbé. Le mécanisme de service unique (MSU) invite donc les banques européennes à être vigilantes sur les attaques menées par la Russie.
Quand est-il du législateur ?
Le législateur a récemment lancé un projet de loi sur l’indemnité des rançons en cas de cyberattaques. C’est un gros chantier qui fait débat au sein du monde de l’assurance et pose aussi un problème d’éthique sur le paiement des rançons aux malfaiteurs.
Le projet de loi encadre uniquement les « rançonciels », une technique qui consiste à capter des informations importantes et confidentielles d’une entreprise et de les restituer moyennant rançon. En 2020, une grande entreprise sur cinq est victime de ce fléau (Article : Une grande entreprise française sur cinq victime de rançongiciel en 2020). Le rançonciel est très néfaste pour les entreprises car il perturbe la production et les données ne sont pas toujours restituées avec exactitude.
La loi permettra de poser un cadre législatif à ce phénomène. Elle prévoit :
- Une indemnisation de la victime 48 heures après le dépôt de plainte ;
- La mise en place d’une task force afin d’aider au mieux les entreprises victimes et pour clarifier les clauses du contrat ;
- Une plateforme anonyme qui sera à disposition des victimes afin de recueillir les incidents mais aussi pour accompagner les entreprises dans leur démarche. Cette plateforme servira aussi d’outil statistique et budgétaire pour l’État afin de coordonner les actions nécessaires.
Cette loi met en avant le manque de sensibilisation des entreprises aux cyberattaques. On observe en effet que les entreprises, de manière générale, ont un manque de formation sur ce domaine alors que beaucoup d’entre elles en sont victimes.
Cependant, certains acteurs économiques alertent sur une possible recrudescence de ses crimes en cas d’adoption de cette loi. Il semble, selon eux, qu’indemniser les rançons pose d’une part un problème éthique en encourageant la criminalité et, d’autre part, un problème d’ordre légal sur le paiement de la rançon.
C’est la raison pour laquelle la BCE a publié un ensemble de préconisations : renforcement de ses pôles risques avec un personnel qualifié, mise en place de stress tests, maîtrise du risque des activités de sous-traitance et renforcement des infrastructures informatiques.
En France, les banques ont déjà mis en place des mesures pour pallier le problème. En effet, ces dernières années les banques françaises demandent à leurs clients de justifier l’origine des fonds arrivant sur leurs comptes. Elles accompagnent leurs clients sur les bonnes pratiques à adopter sur les différents canaux de distribution de services. Et récemment les banques réfléchissent à des outils d’intelligence artificielle permettant de répliquer le mode de consommation des clients pour détecter tout comportement inhabituel et déclencher l’alerte.
Le législateur pose ainsi le premier jalon d’un gros chantier en constante évolution car les techniques continuent à évoluer tous les jours.
La question est donc de savoir si cette nouvelle loi sera adaptée à ce type de criminalité qui ne cesse d’augmenter et d’évoluer.