C’est une bonne nouvelle pour les entreprises mais aussi pour les assureurs qui naviguaient à vue sur ce sujet et louvoyaient dans une zone grise juridique. Le nouveau projet de loi dévoilé par l’exécutif leur apporte une réponse. Désormais, si le projet est validé par le parlement, les assureurs seront autorisés à indemniser les entreprises victime de ransomware.
« Le risque cyber est encore relativement peu assuré » explique le gouvernement français. Cette nouvelle a fait l’effet d’une bulle d’air pour tous ceux qui ont été ou sont toujours confrontés à l’indisponibilité de leurs réseaux informatiques à la suite d’un chiffrement réalisé par un groupe de hackers.
Une condition cependant : les victimes devront préalablement avoir porté plainte, sans quoi, pas d’indemnisation possible. Il s’agit d’une petite révolution de la doctrine française qui interdisait jusqu’ici le paiement des rançons, et donc leur indemnisation par les assurances. Le projet de loi note que ceci permettra « d’améliorer l’information des forces de sécurité et de l’autorité judiciaire, et de casser le modèle de rentabilité des cyberattaquants ». Les principaux assureurs français de leur côté se félicitent de cette clarification.
L’enjeu pour l’Etat est également de « développer les coopérations entre acteurs publics et privés sur les territoires pour sensibiliser le tissu économique local ainsi que d’accroître les efforts de formation des professionnels de l’assurance », nous dit encore le rapport publié par le ministère de l’Economie.
Certaines voix se sont déjà élevées pour dénoncer le « message envoyé aux cybercriminels ». Une telle mesure aura-t-elle l’effet escompté ou bien encouragera-telle de nouvelles cyberattaques ? En effet, les entreprises pourraient être plus encline à payer les rançons si celles-ci sont aussitôt remboursées par les assureurs. Le groupe de travail qui sera constitué dès la fin du mois devra répondre à cette question.