Cyberattaque par rançongiciel : une nouvelle version du texte adoptée par l’Assemblée nationale
05/01/2023
Le terme de « rançon » effacé de la première mouture
Après avoir suscité de nombreuses levées de bouclier, le ministère de l’Intérieur s’était montré réceptif « à la nouvelle rédaction de l’article 4 qui permet de créer des contraintes à l’appel d’air supposé sur les rançongiciels ». En effet, ce texte de loi a subi des modifications substantielles.
Bien que le terme de « rançon » soit effacé de ce texte de loi, le nouveau dispositif vient élargir le cadre d’application à l’ensemble des attaques informatiques, dont les rançons. Quant au remboursement des cyber-rançons par les assureurs, il est désormais conditionné au dépôt d’une plainte et non à une pré-plainte, et ce, au plus tard 72 heures après la constatation de l’infraction.
Notons que le délai de dépôt de plainte envisagé était de 48 heures. En l’étendant à 72 heures, les députés accordent plus de souplesse aux entreprises ayant subi des cyberattaques.
Par ailleurs, les termes « pertes et dommages » viennent remplacer la notion de « dommages causés ». Cela permet d’inclure de manière subtile les pertes d’exploitation subies par l’entreprise victime de cyberattaques. Il convient de souligner que ces dispositions s’adressent uniquement aux entreprises et non aux particuliers.
Le député de la majorité, Mounir Belhamiti, estime que cette nouvelle mouture permet : « de préciser les conditions de prise en charge par les assurances des risques de cyberattaques », et qu’elle encourage les victimes « à porter plainte rapidement si elles veulent pouvoir prétendre à une indemnisation ».
Bien que le terme de « rançon » soit effacé de ce texte de loi, le nouveau dispositif vient élargir le cadre d’application à l’ensemble des attaques informatiques, dont les rançons. Quant au remboursement des cyber-rançons par les assureurs, il est désormais conditionné au dépôt d’une plainte et non à une pré-plainte, et ce, au plus tard 72 heures après la constatation de l’infraction.
Notons que le délai de dépôt de plainte envisagé était de 48 heures. En l’étendant à 72 heures, les députés accordent plus de souplesse aux entreprises ayant subi des cyberattaques.
Par ailleurs, les termes « pertes et dommages » viennent remplacer la notion de « dommages causés ». Cela permet d’inclure de manière subtile les pertes d’exploitation subies par l’entreprise victime de cyberattaques. Il convient de souligner que ces dispositions s’adressent uniquement aux entreprises et non aux particuliers.
Le député de la majorité, Mounir Belhamiti, estime que cette nouvelle mouture permet : « de préciser les conditions de prise en charge par les assurances des risques de cyberattaques », et qu’elle encourage les victimes « à porter plainte rapidement si elles veulent pouvoir prétendre à une indemnisation ».
Un nouveau texte qui apporte son lot de difficultés ?
Cette nouvelle version est loin de pouvoir clore le débat et de répondre aux différents enjeux de la lutte contre la cybercriminalité en France.
À titre d’exemple, la question du déclenchement immédiat de l’accompagnement de l’assureur, sans attendre le dépôt de plainte, reste posée. Les assureurs souhaitent, en effet, savoir s’ils risquent une amende s’ils apportent un accompagnement à leurs assurés en l’absence d’un dépôt de plainte. D’autant plus qu’ils sont tenus d’apporter une aide immédiate en gestion de crise aux entreprises ciblées par des cyberattaques.
Force est de constater que cette nouvelle mouture soulève, à son tour, de nouvelles questions. D’ailleurs, des débats supplémentaires entre l’Assemblée Nationale et le Sénat devront précéder son adoption définitive, d’autant plus que les deux chambres ont voté le projet de loi dans des termes différents. Un compromis devrait être trouvé dans le cadre d’une Commission Mixte Paritaire.
Pour protéger leurs données numériques, les entreprises recrutent des professionnels de la cybersécurité. Pour faire carrière dans ce secteur, vous pouvez suivre les formations proposées par l’EPSI, l’école d’ingénierie informatique.
À titre d’exemple, la question du déclenchement immédiat de l’accompagnement de l’assureur, sans attendre le dépôt de plainte, reste posée. Les assureurs souhaitent, en effet, savoir s’ils risquent une amende s’ils apportent un accompagnement à leurs assurés en l’absence d’un dépôt de plainte. D’autant plus qu’ils sont tenus d’apporter une aide immédiate en gestion de crise aux entreprises ciblées par des cyberattaques.
Force est de constater que cette nouvelle mouture soulève, à son tour, de nouvelles questions. D’ailleurs, des débats supplémentaires entre l’Assemblée Nationale et le Sénat devront précéder son adoption définitive, d’autant plus que les deux chambres ont voté le projet de loi dans des termes différents. Un compromis devrait être trouvé dans le cadre d’une Commission Mixte Paritaire.
Pour protéger leurs données numériques, les entreprises recrutent des professionnels de la cybersécurité. Pour faire carrière dans ce secteur, vous pouvez suivre les formations proposées par l’EPSI, l’école d’ingénierie informatique.
