Aux termes d’un rapport sur le marché de la cyber-assurance, le Ministère de l’Economie a annoncé son intention d’insérer, dans le cadre d’un projet de loi, la possibilité, pour les entreprises, d’être indemnisées par leur assureur en cas d’attaque informatique par rançongiciel. La seule obligation mise à la charge des entreprises serait le dépôt d’une plainte préalable dans un délai de quarante-huit (48) heures après l’incident à l’origine du dommage. Nos avocats en droit de la cybersécurité vous aident à naviguer dans la complexité juridique.
Cette initiative était en genèse depuis le 30 juin 2021, date à partir de laquelle un groupe de travail œuvre à l’élaboration d’un rapport sur le développement d’une offre assurantielle de couverture des risques cyber sous la Direction Générale du Trésor.
Aussi, suivant un communiqué du 7 septembre 2022, le Ministère de l’Economie annoncé la publication d’un rapport qui présente un vaste plan d’actions visant à développer l’assurance du risque cyber et ainsi renforcer la « résilience » du tissu économique français face aux risques cyber qui en menacent l’intégrité.
Ce rapport est le fruit d’une large concertation dans la mesure où il a été élaboré par des représentants des assureurs, des fédérations d’entreprises, de l’Agence Nationale de la Sécurité des Systèmes d’Information (« ANSSI »), de l’Autorité de Contrôle Prudentiel et de Résolution (« ACPR »).
La proposition phare du Rapport est la prise en charge, par l’assureur, du dommage de son assuré résultant du versement par celui-ci d’une rançon dans le cadre d’une cyberattaque par rançongiciel. Cette indemnisation serait toutefois conditionnée au dépôt d’une plainte dans un délai de quarante-huit (48) heures après l’incident à l’origine du dommage.
Cette mesure semble évidemment contradictoire avec les instructions de l’ANSSI, celles des spécialistes du risque Cyber, qui recommandaient, jusqu’à présent, aux entreprises de ne pas céder aux demandes de versement des rançons, avec la tendance des assureurs à exclure, explicitement, la prise en charge des dommages liés au paiement de rançons de leurs polices cyber, et surtout et plus généralement au respect du principe constitutionnel d’ordre public.
A l’évidence, le paiement d’une rançon constitue une incitation, pour les hackers, à poursuivre leurs actes malveillants sans que ce paiement ne garantisse systématiquement la remise en ordre de marche du système d’information ciblé.
L’article 1162 du code civil ne prohibe-t-il pas « les contrats dérogeant à l’ordre public » ?
Son article 6 n’édicte-t-il pas que l’on ne peut « déroger, par des conventions particulières, aux lois qui intéressent l’ordre public et les bonnes mœurs ».
Et l’évocation de la nécessaire résilience des entreprises face au risque Cyber suffit-elle à justifier une telle entorse aux principes fondamentaux de la 5ème république ?
En réalité, si l’on veut bien appeler un chat un chat, la proposition du Ministère de l’Economie pourrait signer l’acte de démission des autorités face à la menace guerrière des hackers.
Pire, cette proposition pourrait légaliser un acte de complicité au sens de l’article 121-7 du code pénal : « Est complice d’un crime ou d’un délit la personne qui sciemment, par aide ou assistance, en a facilité la préparation ou la consommation ».
Dans ce contexte, la motivation du ministère pourrait apparaitre très largement inadéquate, malgré de bonnes intentions que le Ministre de l’Economie résume ainsi : « Je souhaite que ces orientations soient mises en œuvre le plus rapidement possible. L’enjeu est crucial : il s’agit d’affirmer la souveraineté numérique de notre économie face à un accroissement des menaces cyber, pour renforcer la résilience de nos entreprises. ».
Cependant, le risque cyber a depuis longtemps dépassé le stade de la simple menace. Délibérément, les hackers nous ont déclaré la guerre.
Et en temps de guerre, composer avec l’ennemi n’est jamais une bonne option.