Bercy donne son accord de principe pour le remboursement des rançons. Tel a été, en substance, le principal écho médiatique d’un rapport de la Direction générale du Trésor sur l’assurance du risque cyber.
Le ministère de l’Économie reste effectivement sur sa position. Il reprend notamment les conclusions que le Haut Comité juridique de la Place de Paris avait tirées en début d’année. « Le droit français ne prohibe pas explicitement l’assurabilité du paiement des cyber-rançons », avait expliqué l’autorité financière.
La DG Trésor appelle toutefois à conditionner les indemnisations au dépôt de plainte des victimes. Quant au risque de poursuites pour financement de terrorisme, elle l’écarte. L’infraction est « susceptible d’être invoquée, mais ses conditions sont restrictives : l’entreprise payant la rançon ou l’assureur qui la rembourse doivent savoir que les fonds fournis sont destinés à être utilisés, en tout ou partie, en vue de commettre un acte de terrorisme ».
Selon la Fédération française de l’assurance, sept compagnies d’assurance sur dix proposent de telles garanties d’indemnisation des rançons dans leurs contrats d’assurance cyber pour les TPE/PME.
Une autre question d’assurabilité se pose, à propos des sanctions administratives. En première ligne, les « amendes RGPD ». Bercy recommande un principe général d’exclusion.
Il n’y a pas de règle exprimée en droit positif, admet la DG Trésor. Mais il existe un principe constitutionnel de personnalité des peines. Découlant des articles VIII et IX de la Déclaration des droits de l’homme de 1789, elle empêche qu’une autre personne que celle sanctionnée puisse se substituer à elle dans l’exécution de sa peine (qu’elle soit pénale, civile ou administrative), afin que cette dernière remplisse son rôle punitif et dissuasif. En l’espèce, l’assurabilité des sanctions administrative désinciterait les responsables des traitements de données personnelles à se conformer à leurs obligations.
Bercy prend soin de tempérer ses propos, à l’appui de deux arrêts (de 2012 et de 2019) de la Cour de cassation. Le bénéfice de la garantie d’une assurance des conséquences de sanctions y a été écartée en raison de l’absence d’aléa. Ils « ont pu être interprétés comme susceptibles de marquer une évolution [mais] la question de fond de la validité de l’assurance d’une sanction administrative n’est pas évoquée ».
D’après la Fédération française de l’assurance, six compagnies d’assurance sur dix proposent de telles garanties dans leurs contrats d’assurance cyber pour les TPE/PME. Des clauses néanmoins « souvent rédigées en des termes généraux ». Et qui « comportent une réserve qui permet d’écarter le bénéfice de la garantie si elle est contraire aux limites fixées par la loi ».
Le rapport soulève aussi la question des couvertures « silencieuses ». En l’occurrence, celles non expressément mentionnées dans les contrats d’assurance « traditionnels » (par opposition aux contrats dédiés, qui ont capté près de 95 % des cotisations collectées en 2021 pour le risque cyber). Et non prises en compte dans la tarification.
Illustration avec les contrats de responsabilité civile. Ils sont susceptibles de couvrir divers dommages consécutifs à une cyberattaque :
– Dommages matériels ou corporels aux tiers
– Dommages immatériels consécutifs ou non
– Frais de justice
– Responsabilité civile des mandataires sociaux
Sur les contrats de dommages aux biens, les couvertures implicites peuvent toucher aux :
– Dommages matériels affectant des biens physiques de l’entreprise
– Pertes d’exploitation
– Frais informatiques
– Pénalités
Ce type de garanties expose les portefeuilles des assureurs à un risque imprévu. Et laissent les assurés dans l’incertitude du périmètre de couverture. Y voyant une source de contentieux, Bercy invite les assureurs à clarifier leurs polices. Certains en ont déjà pris l’initiative. En excluant notamment les « pertes d’exploitation sans dommage matériel ». Mais la portée des exclusions n’est pas homogène, constate la DG Trésor. La définition même de certains termes varie. Et elle s’éloigne parfois de celle qu’ont les professionnels des systèmes d’information.
Au rang des exclusions de garantie, il pourrait y en avoir une de nature légale : la cyberguerre. Problème : le droit français ne définit pas cette notion.
Pour les assurances de dommages aux biens, les risques de guerre sont légalement exclus de la garantie de l’assureur, sauf convention contraire. L’article L. 121-8 du Code des assurances fixe le régime, pour les « dommages occasionnés soit par la guerre étrangère, soit par la guerre civile, soit par des émeutes ou par des mouvements populaires ».
La jurisprudence fait preuve de souplesse dans l’appréciation de l’exclusion pour cause de guerre étrangère, affirme Bercy. Et de mentionner deux décisions prises en Cassation, en juillet 1945, dans des affaires impliquant des compagnies d’assurance. « La guerre englobe tous les faits qui se rattachent étroitement aux opérations de guerre sans qu’il soit besoin que le fait de guerre soit la cause unique ou directe du sinistre », avait établi la juridiction suprême. Elle n’a cependant jamais défini la « guerre étrangère ».
Qu’en est-il du droit international ? Si on se réfère aux commentaires de 2020 aux Conventions de Genève de 1949, une cyberattaque par un autre État peut constituer un conflit armé international. Il faut toutefois qu’elle soit concomitante d’opérations militaires classiques. Ou qu’elle entraîne des destructions équivalentes à de telles opérations. Auquel cas il faut évaluer son intensité. Tout en étant capable de l’imputer à un État ou à un groupe sur lequel il exerce « un contrôle effectif ou global ».
Sans clause légale d’exclusion s’appliquant explicitement au risque de cyberguerre, on risque là aussi de voir émerger des conventions disparates. « Il apparaît préférable de disposer d’une clause unique […] pour des sinistres causés par un même risque », résume Bercy.
Photo d’illustration © pickup – Adobe Stock
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.