Intervention de Gérald Darmanin

Ce débat est très intéressant. La question est de savoir s’il est souhaitable, pour monter en expertise, de conditionner les paiements de rançons et leur assurance au fait qu’une entreprise ait fait preuve, à tout le moins, d’attention au risque cyber.

Je suis défavorable à ces amendements et je vais tenter de convaincre votre assemblée.

Calquons le risque cyber sur le risque incendie pour établir un parallélisme avec le monde physique. Or comment lutte-t-on contre le risque incendie ? En instaurant des normes : quand on construit un immeuble, on prévoit des sorties de secours, une signalisation, des escaliers, etc. À la fin des fins, l’assurance contre le risque incendie peut être enclenchée, à la condition que ces normes aient été respectées.

Il est vrai que désormais, une attaque cyber dans un hôpital, une entreprise ou une collectivité locale est aussi grave qu’un incendie.

Cela étant, un label d’entreprise est-il de nature à répondre au risque incendie ? La réponse est non. Le rôle du législateur n’est pas, me semble-t-il, de désigner tel ou tel label pour assurer un risque. En revanche, il lui revient d’édicter des normes, pour lesquelles des entreprises et des labels peuvent concourir.

Il est sans doute prématuré de définir ces normes ; en tout cas, tel n’est pas l’objet de cette discussion. En outre, c’est non pas au ministère de l’intérieur qu’il appartient de le faire, mais plutôt à Bercy ou à la Première ministre. Nous n’en sommes en effet, monsieur le rapporteur, qu’au début de notre travail contre le risque cyber.

Par ailleurs, le vote de l’article ainsi modifié par l’amendement permettrait à des assureurs de vendre moins cher leurs contrats à la condition que les assurés respectent les normes de tel ou tel label.

Dans le domaine de l’assurance cambriolage, beaucoup d’assureurs offrent un tarif plus avantageux si les assurés s’engagent à faire des travaux et à installer tel type de fenêtre, de porte ou de serrure. Le risque est ainsi limité et l’assurance moins chère que si les locaux étaient ouverts à tous les vents.

Il revient donc aux assureurs de nouer des partenariats avec les labels que vous évoquez. Le législateur n’a pas à désigner un label au risque de limiter la concurrence.

Nous pourrions imaginer d’autres labels. Soyons un peu libéraux dans notre vision des choses : il ne nous appartient pas de définir des normes – quand bien même un rapport, rédigé dans un contexte différent, car il s’est passé des choses entre-temps, le préconiserait – ou de choisir tel ou tel label ou telle ou telle entreprise.

Je suis favorable à la définition de normes. Certes, rien n’empêchera un assureur de conditionner l’octroi d’un meilleur tarif à des entreprises, collectivités locales ou hôpitaux au respect d’un label. Mais il ne me semble pas que notre rôle soit de choisir ce dernier. Il sera intéressant de mener ce travail de définition des normes à l’occasion de prochains textes.