Intervention de François Bonhomme

La très forte expansion de la cybercriminalité constitue un enjeu majeur pour la sécurité de nombreux acteurs économiques, administratifs, territoriaux et – comme nous le savons depuis cet été – de santé. Parmi les menaces les plus importantes, figure le ransomware, qui est un logiciel malveillant capable de bloquer les données informatiques essentielles et confidentielles de ses cibles. Une fois le forfait accompli, les pirates demandent une rançon, souvent en monnaie virtuelle, en échange d’une clé permettant de déchiffrer de nouveau ces données. Une entreprise sur cinq aurait fait l’objet d’une attaque de ce type. La gendarmerie nationale a engagé 101 000 procédures en 2020, soit une hausse de 21 %.

Dans ce contexte, de nombreux professionnels de la cybersécurité, en particulier le Club des experts de la sécurité de l’information et du numérique (Cesin), qui compte quelque 800 membres, ont très récemment fait part de leur vive opposition à l’autorisation de l’indemnisation assurantielle des cyber-rançons.

Sur la forme, ils regrettent de ne pas avoir été préalablement associés à l’élaboration de cet article. Sur le fond, les acteurs du secteur estiment que cette autorisation risque d’encourager le cybercrime, voire la récidive, de provoquer la multiplication d’intermédiaires douteux lors des négociations et de favoriser l’exercice d’une pression de la part des assureurs auprès de leurs clients pour les forcer à payer la rançon si celle-ci s’avère moins élevée que les frais de remédiation.

L’article 4 vient donc affaiblir la position déterminée et constante des pouvoirs publics, défendue notamment par l’Agence nationale de la sécurité des systèmes d’information (Anssi) ou le ministère de la justice, qui ont toujours recommandé aux entreprises et aux administrations de ne jamais payer de rançon. En avril 2021, la cheffe de la section spécialisée du Parquet de Paris rappelait que la France était l’un des pays les plus attaqués. Aux États-Unis, la règle est tout à fait différente, et les revenus soutirés aux entreprises sont en baisse.

Il deviendra de plus en plus difficile d’arriver à financer les rançons par les seuls acteurs privés, compte tenu de l’importance des sommes en jeu. Notre amendement a donc pour objet de supprimer cet article.