Rançongiciel et indemnisation : Plainte obligatoire

En résumé

Le ministère de l’Economie et des finances a précisé, dans un communiqué du 7 septembre 2022[1], avoir intégré dans un projet de loi la possibilité pour les victimes de rançongiciel, lorsqu’elles ont payé la rançon et sont assurées d’obtenir une indemnisation après un dépôt de plainte.

Cette possibilité d’indemnisation ne doit pas faire oublier l’importance de la cybersécurité et des actions préventives pour éviter de subir ces attaques.

 


La digitalisation des entreprises et l’usage du télétravail, dont le développement croît depuis la crise du Covid 19, ont favorisé la multiplication des cyberattaques, menaçant ainsi les activités des entreprises victimes. Pourtant, seules 3 % des cotisations en assurance dommage des professionnels sont dédiées à l’assurance contre le risque cyber, et ce sont majoritairement les grosses entreprises qui souscrivent à ce type d’assurance. Cela peut s’expliquer par une difficulté, pour les entreprises, à appréhender le risque cyber et par la difficile estimation de l’impact de ce risque pour les acteurs de l’assurance.

Partant de ce constat, et alors qu’un Rapport parlementaire publié au mois d’octobre 2021 plaidait pour l’interdiction de l’indemnisation en cas de paiement des rançons, le groupe de travail mis en place par la Direction générale du Trésor a publié un rapport sur le marché de la cyber-assurance[1] proposant un plan d’action décliné en quatre axes, repris dans le communiqué de Bercy le 7 septembre 2022 :

  • - Clarifier le cadre juridique ;
  • - Mieux appréhender et mesurer le risque cyber ;
  • - Améliorer le partage du risque entre assureurs, assurés et réassureurs ;
  • - Accroitre les efforts de sensibilisation des entreprises au risque cyber.

 

Bercy propose donc, dans le cadre de la mise en œuvre de ces orientations, d’intégrer dans le projet de loi d’orientation et de programmation du ministère de l’Intérieur, à l’article 4, la possibilité pour les entités attaquées par un rançongiciel d’être indemnisée de la rançon versée mais uniquement si elles déposent plainte. Il propose également d’affirmer l’inassurabilité des sanctions administratives telles que les amendes pour non-conformité au RGPD par modification de l’article L.113-1 du code des assurances.

Elle permet également d’inciter fortement les entités victimes de rançongiciel à prévenir les autorités par le biais d’une plainte car, pour l’heure, peu d’entreprises portent réellement plainte préférant taire cette « mésaventure ».

L’absence de plainte conduit à une impunité des auteurs et à l’absence de données fiables sur l’étendue de ce risque et ses modalités de fonctionnement.

 

Définition du rançongiciel : une extorsion

 

Le rançongiciel (ou ransomware) est une technique d’attaque utilisée par les cybercriminels, consistant à envoyer à la victime un logiciel malveillant par le biais d’un email d’hameçonnage, d’un lien vers un site web compromis, du téléchargement ou de la mise à jour d’un logiciel compromis ou une intrusion directe sur le réseau de l’entreprise.

Le logiciel malveillant procède au chiffrement de l’ensemble des données de l’entreprise et affiche la demande de paiement d’une rançon, souvent en cryptomonnaie.

Lorsque l’entreprise paie, elle obtient normalement, en échange de la rançon, un mot de passe ou une clé de déchiffrement.

Ces attaques pourraient être qualifiées d’extorsion[2], d’atteintes aux systèmes de traitement automatisé de données[3] ou de sabotage lorsque cela atteint les systèmes de l’Etat[4]. Pour autant, la doctrine estime que la qualification d’extorsion est plus propice dès lors que l’utilisation d’un rançongiciel peut être perçue comme une contrainte morale et que cette contrainte a pour objectif de déterminer la victime à lui remettre des fonds, des valeurs ou un bien quelconque, représentés ici par des cryptomonnaies. Lorsque la victime n’a pas remis les fonds, il sera possible de poursuivre le hacker pour tentative d’extorsion[5].

L’usage d’un moyen de cryptologie[6] ou de la bande organisée[7] constituent des circonstances aggravantes dont l’application pourrait être faite.

 

Prévention et actions

 

Si la contraction d’une assurance permet de s’assurer d’une indemnisation en cas d’attaque et de paiement de la rançon, il convient pour autant d’agir de manière préventive pour éviter les attaques ou réduire leurs impacts.

La prévention des cyberattaques peut passer par une sécurisation des systèmes informatiques et une sauvegarde des données, mais également par une formation du personnel et des tests pratiques fréquents. Une procédure de gestion de crise en cas d’attaque doit être prévue pour améliorer la réactivité de chacun et diminuer l’impact de l’intrusion.

En cas d’attaque, il importe de préserver les données non encore concernées, de relever le plus d’éléments possibles concernant l’attaque, de notifier à la CNIL les risques liés aux données personnelles et d’alerter la Direction informatique ou de joindre la plateforme cybermalveillance.gouv.fr en l’absence de service compétent dans l’entreprise.

En principe, l’ANSSI recommande de ne pas payer les rançons mais face à l’importance des données en jeu, le paiement de la rançon peut être l’unique solution de l’entreprise, ce qui n’est pas illégal.

Une fois les données récupérées, il sera nécessaire de faire le nécessaire pour éviter une réitération de l’acte et de déposer plainte à la gendarmerie ou au commissariat, voire par lettre recommandée avec accusé de réception auprès du Procureur de la République avec tous les éléments à la disposition de l’entreprise.

 

Nos préconisations

 

  • - Cartographier les risques et mettre en œuvre un plan de prévention des cyberattaques ;
  • - Former et sensibiliser les personnels ;
  • - Mettre en place un plan de gestion de crise en cas d’attaque ;
  • - Notifier à la CNIL les risques liés aux données personnels ;
  • - Effectuer un signalement auprès du ministère de l’Intérieur ;
  • - Déposer plainte et faire une déclaration à l’assurance.

 

[1] Remise du rapport sur le développement de l’assurance du risque cyber, DG Trésor, 7 septembre 2022

[1] Le développement de l’assurance du risque cyber, Direction générale du Trésor, septembre 2022

[2] Article 312-1 du code pénal

[3] Articles 323-1, 323-2 et 323-3 du code pénal

[4] Article 411-9 du code pénal

[5] La lettre juridique n° 855 du 25 février 2021, Droit pénal spécial, Cybercriminalité : la qualification pénale de l’utilisation d’un rançongiciel, Eliaz Le Moulec

[6] Article 132-79 du code pénal

[7] Article 312-6 du code pénal