Intervention de Gérald Darmanin

Je me suis sans doute mal exprimé. Est-il aujourd’hui possible de souscrire une assurance contre le risque de cyber-rançon ? La réponse est oui.

Monsieur Cadic, je ne comprends pas votre argumentation. Je m’oppose, moi aussi, au paiement des rançons. Je suis, moi aussi, contre le terrorisme. Le monde n’est pas divisé entre partisans et adversaires du terrorisme !

Je le répète : il ne faut évidemment pas payer les rançons. Je constate néanmoins comme nous tous, contrairement à ce que j’ai entendu dans les propos liminaires, que des assurances existent pour rembourser le paiement d’une rançon. Tel est l’état actuel du droit.

Nous aurions pu, c’est vrai, interdire les assurances. Le débat est ouvert sur ce point, mais ce n’est pas la proposition du Gouvernement, pas plus que la vôtre. Car, dans l’élaboration du texte législatif qui nous occupe, vous auriez pu proposer l’interdiction des assurances pour risque cyber. Force est de constater que vous ne le faites pas pour le monde réel : vous autorisez l’assurance de la rançon, de l’extorsion et du chantage. Ce qui se passe dans le monde cyber s’inspire du monde réel. Nous devons donc être cohérents dans notre fonctionnement pénal.

Pourquoi, pour notre part, ne proposons-nous pas de supprimer l’assurance ? Vous citiez l’exemple des États-Unis, mais, malheureusement, notre situation n’est pas comparable à la leur sur cette question.

Derrière ce débat se cache d’ailleurs – ne soyons pas naïfs ! – un argument commercial : « Puisque vous n’êtes pas assurés, achetez nos solutions de protection informatique ! »

Notre difficulté actuelle est que nous ne connaissons pas exactement les modus operandi de la plupart des groupes criminels responsables de cette nouvelle menace – car c’est bien ce dont il s’agit, comme je l’ai expliqué lors de la discussion générale à la tribune –, contre laquelle nous devons nous protéger. Or nous devons connaître ces menaces pour mieux y répondre et, pourquoi pas, développer un système judiciaire et économique permettant de les combattre.

Si nous ne connaissons pas exactement les menaces, comment voulez-vous que la police et la gendarmerie, aidées par l’Anssi notamment, puissent documenter du mieux possible ce risque ?

Aujourd’hui, la zone d’ombre autour des rançons qui sont payées – puisque les assurances sont autorisées – sans que nous en ayons connaissance est énorme. Je vous rejoins sur un point : ce faisant, on achète la paix locale sans se soucier de l’intérêt général.

En outre, comment réagirait la PME de votre territoire si, demain, nous interdisions les assurances – car j’y ai réfléchi, monsieur le sénateur – qui seraient autorisées partout en Europe ? Elle souscrira une assurance à l’étranger, et nous aurons alors perdu sur les deux tableaux : d’une part, les plaintes ne seront pas déposées et nous ne connaîtrons pas mieux notre adversaire – qui est nouveau et que nous sommes en train de le découvrir – ; d’autre part, les entreprises continueront tout de même à garantir leur risque.

Je ne suis pas tout à fait certain, d’ailleurs, que le Conseil constitutionnel nous autoriserait à interdire la couverture d’un risque que courent les acteurs économiques et institutionnels.

La meilleure solution que nous ayons trouvée à ce stade est non pas de changer de doctrine, mais d’expliquer qu’il ne faut pas payer de rançon. Nous constatons que des assurances spécifiques existent et que, pour des raisons à la fois d’opportunité et de droit, il ne nous est pas possible, à notre connaissance, de les interdire. Nous souhaitons donc que le dépôt d’une plainte soit un préalable à l’indemnisation, afin que nous puissions mieux connaître et poursuivre systématiquement les auteurs des crimes cyber.

La question est très complexe. Nous découvrons le continent des cyberattaques, et nous n’en sommes qu’au début. Le législateur que vous êtes aura sans doute à légiférer sur d’autres textes en la matière : au fur et à mesure, nous apporterons des réponses aux nouvelles menaces que nous découvrirons, mais je reste persuadé que les amendements de suppression de l’article 4 sont la pire des solutions dans la situation actuelle.

Le Gouvernement propose-t-il la meilleure des réponses dans le meilleur des mondes ? Sans doute que non, mais c’est la moins mauvaise des solutions.