Interventions sur "rançon"

...ue un enjeu majeur pour la sécurité de nombreux acteurs économiques, administratifs, territoriaux et – comme nous le savons depuis cet été – de santé. Parmi les menaces les plus importantes, figure le ransomware, qui est un logiciel malveillant capable de bloquer les données informatiques essentielles et confidentielles de ses cibles. Une fois le forfait accompli, les pirates demandent une rançon, souvent en monnaie virtuelle, en échange d’une clé permettant de déchiffrer de nouveau ces données. Une entreprise sur cinq aurait fait l’objet d’une attaque de ce type. La gendarmerie nationale a engagé 101 000 procédures en 2020, soit une hausse de 21 %. Dans ce contexte, de nombreux professionnels de la cybersécurité, en particulier le Club des experts de la sécurité de l’information et du n...

Mon amendement est identique à celui de M. Bonhomme, qui l’a très bien défendu. Nous considérons que le mécanisme proposé présente de nombreux dangers. Il risquerait d’être contre-productif : plutôt que d’aider à la lutte contre les rançongiciels, il pourrait encourager l’économie des cyberpiratages, en incitant les entreprises à payer davantage les rançons puisqu’elles sont assurées. Aussi de nombreux experts de cybercriminalité s’opposent-ils à cette institutionnalisation des remboursements de rançongiciels. De plus, le délai laissé aux victimes de tels actes est excessivement court : après 48 heures, les entreprises qui n’auron...

Cet article, qui permettrait le paiement d’une rançon dans le cas d’une extorsion au moyen d’un acte cybercriminel, est en rupture totale avec la doctrine préconisée par l’Anssi, ce qui aura quatre conséquences graves pour la sécurité nationale et celle de nos compatriotes. Tout d’abord, en introduisant dans le texte d’une loi française l’idée qu’une rançon peut être payée, c’est la doctrine constante de la France, selon laquelle notre pays ne paye...

J’ai écouté avec intérêt le propos de mes collègues, mais je pense qu’ils font un contresens complet sur les intentions du ministre de l’intérieur. Ils souhaitent supprimer l’article 4, qui impose un dépôt de plainte pour être indemnisé par un assureur en cas de versement d’une rançon après une attaque au rançongiciel. Actuellement, aucune disposition n’interdit de s’assurer contre le risque de paiement d’une rançon. Il est donc excessif, et même faux, d’affirmer que le projet de loi autoriserait la couverture assurantielle de ce risque. C’est bien parce qu’une telle couverture est déjà possible que le ministre peut constater que toute une série d’entreprises ou d’établisseme...

Les États-Unis ont adopté une position beaucoup plus claire et ils ont vu le montant des rançons baisser. Je livre cette réflexion à votre sagacité. Je le redis, l’ambiguïté qui demeure ne va pas dans le sens de la règle de conduite que vous vous êtes fixée. Pour autant, je retire cet amendement.

J’étais favorable aux dispositions de l’article 3, qui correspondent exactement aux méthodes employées, avec succès, par le FBI : ce dernier parvient à récupérer très rapidement les rançons après qu’elles ont été versées, même si je rappelle au passage que la doctrine aux États-Unis ne permet pas cette option. Je resterai cohérent avec mon propos et maintiendrai mon amendement, qui sera mis au vote – je veux aller jusqu’au bout. Notre doctrine consistait à ne pas payer de rançon. J’ignore quelle sera demain l’action des pouvoirs publics en cas de changement de stratégie. Lorsque l...

Je me fais le relais de notre collègue Mickaël Vallet, qui avait déposé un amendement. On comprend bien le propos du ministre. On décèle également le tiraillement qui existe entre les positions de l’Anssi et de Bercy. D’un côté, le directeur de l’Anssi estime que : « Dès lors que l’on s’interroge sur le paiement d’une rançon, il est déjà trop tard. Il n’y a plus alors de bonne solution. Il ne faut pas se tromper de message et dissuader fortement le paiement des rançons, qui va alimenter le crime organisé. Cet argent sera utilisé pour attaquer encore plus de victimes. Toute disposition, quand bien même elle semblerait de bon sens, qui pourrait laisser croire que le paiement d’une rançon est quelque chose d’anodin, env...

Les discussions sont assez vives sur cet article 4 et je remercie le ministre d’avoir soumis ce sujet, qui est véritablement d’actualité, au débat. Notre amendement vise à informer sous 24 heures les autorités compétentes pour agir dès l’attaque et réduire le nombre de rançons versées. On sait que 90 % des attaques sont rapidement signalées, ce qui facilite le travail de nos autorités compétentes afin de favoriser la récupération des données ou, dans un cas extrême, d’engager une négociation avec les cyberattaquants. Nous devons aller au plus vite, car, en cas d’attaque, les heures sont comptées. Il faut donc inciter les victimes à informer rapidement les autorités ...

Cet amendement, qui est proche du précédent, prévoit que la déclaration de sinistre soit faite au moment de la demande de rançon, en tout cas avant le paiement. En effet, il n’est pas complètement improbable que les services de police ou les services compétents puissent détecter l’origine de la demande de rançon, ce qui se fait plus facilement avant le paiement qu’après. Par ailleurs, pour n’importe quel sinistre, la déclaration à la compagnie d’assurances se fait au moment du sinistre.

...it celui du Gouvernement. Le Gouvernement souhaite que les gens s’assurent, mais qu’ils ne soient remboursés qu’à la condition d’avoir déposé une plainte au préalable. Il y voit un moyen d’améliorer ses connaissances pour mieux lutter contre la menace cyber. Nous doutons de cette démarche. Le fait d’imposer l’assurance peut faire augmenter la criminalité : si tout le monde s’assure, le marché du rançongiciel grossira, le point positif étant que les forces de sécurité arrêteront plus facilement les criminels. Mais on le sait bien, on n’arrête jamais 100 % des voleurs. De fait, nous allons donc contribuer à augmenter leur nombre. La situation me semble kafkaïenne, car, en réalité, les entreprises devront être assurées non pas pour être remboursées, mais pour que le Gouvernement dispose des conna...

...ns à présent des délais. D’un côté, M. Benarroche souhaite un délai de quinze jours, qui donne du temps aux entreprises, mais qui s’avère totalement contraire à l’intention du Gouvernement pour lequel le délai dans lequel les autorités judiciaires doivent être prévenues doit être le plus court possible. Il s’agit d’essayer – comme lors d’une prise d’otages finalement – d’éviter le paiement de la rançon. De l’autre côté, Mme Goulet propose un délai de 24 heures auquel, a priori, je ne suis pas opposé. J’en comprends l’inspiration, mais je solliciterai l’avis du ministre à son sujet. L’exposé des motifs précise toutefois que la demande de rançon constitue le fait générateur. Non ! Si aucune rançon n’est versée, l’assureur n’intervient pas. Je le rappelle, et le ministre l’a déjà dit, l’a...

Pour aller encore plus loin et sortir du débat un peu binaire « pour ou contre l’assurabilité des rançongiciels », il convient de prendre de la hauteur et de « monter » en compétences techniques, pour mieux se protéger. Le présent amendement reprend la proposition n° 11 du rapport d’information, publié le 10 juin 2021, sur la cybersécurité des entreprises par la délégation aux entreprises, qui l’a approuvé à l’unanimité. Il se réfère précisément au label ExpertCyber, développé sur le site cybermalv...

J’étais favorable aux amendements de M. Cardon et Mme Goulet sur les délais, car il est nécessaire d’aller le plus vite possible pour éviter la cyber-rançon. Mais, sur les deux amendements n° 45 et 216 rectifié ter visant à mettre en place des normes, l’avis sera défavorable, ce qui n’exclut pas d’être à l’écoute des débats qui se tiendront sur ce sujet dans d’autres assemblées. Le cas échéant, nous proposerons une rédaction plus optimale.

...es assureurs doivent prendre leur part dans la lutte contre la cybercriminalité. C’est la raison pour laquelle nous proposons d’insérer un article additionnel visant à compléter le code monétaire et financier. Cet article imposerait aux acteurs du secteur assurantiel de s’abstenir d’effectuer toute opération portant sur des sommes dont ils savent ou présument qu’elles résultent du paiement d’une rançon exigée à la suite d’une atteinte aux systèmes de traitement automatisé de données, jusqu’à ce qu’ils en aient fait la déclaration à Tracfin. Les rapporteurs de la commission ont indiqué que cette mesure était satisfaite. Néanmoins, il pourrait être soutenu que, dans le texte en vigueur, le code monétaire et financier évoque des sommes « provenant » de telles infractions alors que, dans le cadre ...

...les des établissements financiers sont tenues de déclarer à Tracfin les sommes dont elles savent, soupçonnent ou ont de bonnes raisons de soupçonner qu’elles proviennent d’une infraction passible d’une peine privative de liberté supérieure à un an », ce qui est le cas, « ou sont liées au financement du terrorisme ». En 2021, Tracfin a reçu 66 déclarations de soupçon en lien avec le paiement d’un rançongiciel contre 28 en 2020 et 19 en 2019, soit 3, 5 fois plus en trois ans. À ce jour, Tracfin a transmis huit de ces dossiers à l’autorité judiciaire. Il nous semble que cet amendement n’est pas nécessaire au stade où nous en sommes. C’est pourquoi la commission y est défavorable, mais elle écoutera avec intérêt l’avis du Gouvernement. J’ajoute que les compagnies d’assurances sont tenues de décla...