Les députés modifient les dispositions sur les cyber-rançons
16.11.2022
Gestion d'entreprise
Mardi, l’Assemblée a adopté l’article 4 de la LOPMI qui porte sur les assurances face au risque informatique. En commission, puis en séance, les députés ont fait évoluer le dispositif retenu par le Sénat.
« Au niveau national, pour la seule année 2020, 192 attaques par rançongiciel avaient été traitées par l’ANSSI, contre 54 l’année précédente. De son côté, la CNIL a enregistré 5 037 notifications de violation de données en 2021, soit une hausse de 79 % par rapport à l’année précédente ; le nombre de violations résultant d’une attaque par rançongiciel s’établissant à 2 150, soit 43 % du volume total ». Après avoir rappelé ces éléments chiffrés, Florent Boudié, rapporteur du texte à l’Assemblée, est revenu sur la nécessité de faire évoluer le texte dans son rapport remis en commission.
Lors de son audition, Joanna Brousse, vice-procureur à Paris à la section JR, spécialisée en cyber-criminalité, recensait 148 attaques par rançongiciel en 2019, 436 en 2020, 483 en 2021, et 322 en 2022 (au 19 octobre). Une légère décélération qui s’expliquerait par la guerre en Ukraine, « qui a fortement, mais temporairement, mobilisé les cyber-délinquants ». Le général Marc Boget, commandant de la gendarmerie dans le cyberespace, estimait lui que les forces de sécurité ne recevaient qu’un dépôt de plainte pour 150 à 200 attaques avérées.
L’article 4 du projet de loi vise à encadrer les clauses de remboursement des cyber-rançons par les assurances. Lors des débats à l’Assemblée, certains parlementaires ont craint que cet article représente un « appel d’air » en faveur des piratages du fait de l'autorisation d'un paiement des rançons. Le rapporteur a rappelé qu’aucun pays de l’OCDE n’avait « pris de mesure d’interdiction du paiement des rançons, ni prohibé le principe de leur couverture assurantielle ».
Le mois dernier, lors de l’étude du projet de loi LOPMI au Sénat, les parlementaires avaient conditionné un éventuel remboursement au dépôt d’une pré-plainte dans les 24 heures suivant l’attaque. Mais cette rédaction est insatisfaisante pour les députés.
D’une part, le dispositif de la pré-plainte ne paraît pas adapté à la déclaration d’attaques par rançongiciel. Pour le rapporteur, elle « ne doit pas être utilisée en cas d’urgence, et ne permet pas de recueillir une quantité d’informations suffisante », surtout lorsque la plainte en ligne est possible. Par ailleurs, tout en étant conscients de la nécessité d’agir vite, les députés ont voulu desserrer les délais, passant de 24 heures à 72 heures. La rançon pourra également être payée avant la plainte.
De plus, certaines attaques n’étant pas détectables directement, ce délai de 72 heures prendra pour point de départ la connaissance de l’atteinte par la victime et non l’attaque en elle-même. Enfin, le dispositif est élargi à l’ensemble des remboursements assurantiels faisant suite à une attaque, et non plus aux seuls remboursements couvrant le paiement d’une cyber-rançon.
Plusieurs amendements des députés sont venus alourdir les peines des délits d’atteinte à un système de traitement automatisé de données. L’article 4 bis A aggrave les peines. Le 4 bis C permet de recourir à une ordonnance pénale pour ces délits. L’article 4 bis CA crée une circonstance aggravante pour les cyber-attaques mettant en danger la vie d’autrui. Enfin, l’article 4 bis B étend le champ de la circonstance aggravante de bande organisée en cas d’atteinte à un système de traitement automatisé de données, en supprimant la restriction qui la limitait aux seuls systèmes mis en œuvre par l’État.
Un autre amendement de l’Assemblée crée une infraction spécifique pour les plateformes de vente sur le darknet. Par ailleurs, l’article 4 bis du projet de loi, introduit par le Sénat, a complété la liste des actes autorisés dans le cadre des enquêtes sous pseudonyme, afin de faciliter le recours à la technique du « coup d’achat ».
Enfin, dans son rapport, Florent Boudié insiste sur le manque de moyens de la justice : la section J3 n’est composée que de trois magistrats, quand les parquets cybers comptent 55 à 60 procureurs spécialisés en Suisse, 16 en Slovaquie, 7 au Portugal, 6 en Autriche et près d’une centaine dans les Länder allemands.
|
Rédaction de l’article 4 retenue par l’Assemblée : « Art. L. 12-10-1. – Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime. « Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. » |
|---|
