Présenté en conseil des Ministres le 16 mars 2022, le projet de loi d’orientation et de programmation du Ministère de l’Intérieur (LOPMI) compte 13 mesures visant à encadrer la transition numérique des forces de l’ordre et à structurer la stratégie de l’État dans la lutte contre les cyberattaques. Le mercredi 12 octobre 2022, le Sénat a adopté l’article 4 sur le paiement des rançons du projet LOPMI.
Après avoir suscité de nombreuses levées de bouclier, le ministère de l’Intérieur s’était montré réceptif « à la nouvelle rédaction de l’article 4 qui permet de créer des contraintes à l’appel d’air supposé sur les rançongiciels ». En effet, ce texte de loi a subi des modifications substantielles.
Bien que le terme de « rançon » soit effacé de ce texte de loi, le nouveau dispositif vient élargir le cadre d’application à l’ensemble des attaques informatiques, dont les rançons. Quant au remboursement des cyber-rançons par les assureurs, il est désormais conditionné au dépôt d’une plainte et non à une pré-plainte, et ce, au plus tard 72 heures après la constatation de l’infraction.
Notons que le délai de dépôt de plainte envisagé était de 48 heures. En l’étendant à 72 heures, les députés accordent plus de souplesse aux entreprises ayant subi des cyberattaques.
Par ailleurs, les termes « pertes et dommages » viennent remplacer la notion de « dommages causés ». Cela permet d’inclure de manière subtile les pertes d’exploitation subies par l’entreprise victime de cyberattaques. Il convient de souligner que ces dispositions s’adressent uniquement aux entreprises et non aux particuliers.
Le député de la majorité, Mounir Belhamiti, estime que cette nouvelle mouture permet : « de préciser les conditions de prise en charge par les assurances des risques de cyberattaques », et qu’elle encourage les victimes « à porter plainte rapidement si elles veulent pouvoir prétendre à une indemnisation ».
Cette nouvelle version est loin de pouvoir clore le débat et de répondre aux différents enjeux de la lutte contre la cybercriminalité en France.
À titre d’exemple, la question du déclenchement immédiat de l’accompagnement de l’assureur, sans attendre le dépôt de plainte, reste posée. Les assureurs souhaitent, en effet, savoir s’ils risquent une amende s’ils apportent un accompagnement à leurs assurés en l’absence d’un dépôt de plainte. D’autant plus qu’ils sont tenus d’apporter une aide immédiate en gestion de crise aux entreprises ciblées par des cyberattaques.
Force est de constater que cette nouvelle mouture soulève, à son tour, de nouvelles questions. D’ailleurs, des débats supplémentaires entre l’Assemblée Nationale et le Sénat devront précéder son adoption définitive, d’autant plus que les deux chambres ont voté le projet de loi dans des termes différents. Un compromis devrait être trouvé dans le cadre d’une Commission Mixte Paritaire.
Pour protéger leurs données numériques, les entreprises recrutent des professionnels de la cybersécurité. Pour faire carrière dans ce secteur, vous pouvez suivre les formations proposées par l’EPSI, l’école d’ingénierie informatique.