viperagp - stock.adobe.com

Rançongiciels : l’Assemblée nationale redonne un peu de substance à la LOPMI

Les tenants d’un encadrement clair et explicite de l’indemnisation des rançons versées seront déçus. Mais concrètement, la formulation adoptée en séance ne s’y oppose en rien. Le délai pour l’obligation du dépôt d’une plainte est porté à 72h.

La commission des lois avait plus ou moins vidé de sa substance le projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI). Le texte 436 adopté par la commission avait en effet supprimé de l’article 4 du projet toute référence explicite aux rançons susceptibles d’être versées en cas de cyberattaque et à leur indemnisation par un assureur.

Tant pis si, loin du blanc-seing ou du reversement de doctrine perçu par certains, le projet de loi initial, comme celui adopté par le Sénat, visait surtout à encadrer une pratique – très limitée selon nos sources, mais non moins réelle – et à fournir aux forces de l’ordre l’accès aux données de paiement nécessaires aux enquêtes judiciaires.

Certains craignaient un retour de la notion d’indemnisation des rançons payées avec l’adoption éventuelle d’amendements en séance à l’Assemblée nationale, à l’instar de Christian Daviot, ancien conseiller stratégique du directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Voyant la main des assureurs, il pointait récemment sur LinkedIn l’amendement 449.

Mais ce dernier n’aura pas même été soutenu. Les amendements 1294 et 1297 ont en revanche été adoptés. Leurs exposés ne mentionnent pas le mot rançon. Ils remplacent toutefois les mots « de tout dommage causé » par « des pertes et dommages causés ».

La formulation est comparable à celle de l’amendement 449 et redonne de sa substance à l’article 4 de la LOPMI. Tout ajoutant une contrainte : le conditionnement de l’indemnisation de toutes les pertes consécutives à une cyberattaque au dépôt d’une plainte – y compris, donc, les pertes d’exploitation. De quoi, probablement, faire grincer quelques dents, notamment du côté de ceux qui préfèrent ne pas porter plainte en cas de cyberattaque.

Les députés ont par ailleurs donné un peu de souplesse aux victimes de cyberattaques. Le Sénat voulait imposer un délai de 24h « suivant l’attaque » – et « avant tout paiement de cette rançon » – pour déposer une pré-plainte comme condition à l’indemnisation de celle-ci. La commission des lois est revenue au « dépôt d’une plainte », et « au plus tard 48h après la constatation de l’infraction ».

Plusieurs amendements adoptés en séance (dont le 413) ont étendu ce délai à 72h après la « connaissance de l’atteinte par la victime » (amendement 1298). Et ce sera sûrement salué par les experts de la réponse à incidents.

Certains d’entre eux n’ont pas manqué de nous souligner qu’il n’est pas rare que quelques jours s’écoulent, avant que la victime ne prenne conscience de la véritable nature de la situation à laquelle elle est confrontée… ou qu’elle ne réussisse à mettre la main sur une (mal nommée) note de rançon qui n’aura tout simplement pas été identifiée, sous l’effet notamment de la panique.

Pour approfondir sur Menaces, Ransomwares, DDoS