Assurance de la cyber-rançon : une nouveauté le 18 octobre 2022 !

Publié le

10/2022

La semaine dernière, je vous faisais un point sur la légalisation par le gouvernement de l’indemnisation des cyber-rançons à partir d’un article et des deux réactions face à celle-ci. https://gestiondesrisques.net/2022/10/13/blog-https-gestiondesrisques-net-la-rentree-un-peu-en-decale/

Rebondissement, le 18 octobre 2022 : la condition de plainte est modifiée par le Sénat.

Celui-ci nous rappelle, s’il en était besoin, le contenu souvent peu structurant des mesures prises par les pouvoirs publics français (loi NRE, loiSF, principe de précaution…). Or celui-ci est bien souvent à l'origine des logiques de sur-réaction ou de sous-réaction des entreprises. Voir le rôle d'amplificateur du risque du régulateur-législateur que je présente dans mes travaux comme l’un des facteurs qui explique l’ampleur considérable prise depuis la fin des années quatre-vingt-dix par la Fonction Risk Manager. Voir Ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; p.53-65. 👉 https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html

Je vous livre ci-dessous l’analyse de Paul Berger de Gallardo, Avocat / Assurances, cyber, risques industriels.

‍

🔔 Assurer la cyber-rançon: la condition de la plainte modifiée par le Sénat 🔔

🔹 7 septembre 2022 : dépôt d’un projet de loi par le Gouvernement proposant d'encadrer le remboursement des cyber-rançons par les #assurances, en rendant obligatoire le dépôt d’une « plainte » par la victime « au plus tard 48 h après le paiement de cette rançon ».

🔸 7 octobre 2022 :rédaction d’un amendement du sénateur Rémi Cardon qui transforme la condition d’assurance en une « pré-plainte » devant être déposée« dans les 24h suivant l’attaque et avant tout paiement ».

➡ Objectif : informer au plus vite les autorités compétentes pour agir dès la #cyber-attaque et réduire le nombre de rançons versées.

🔹 18 octobre 2022 : adoption du texte par le Sénat avec l’amendement précité, puis transmission à l’Assemblée nationale.

❓Quelques interrogations sur cette condition d’assurance modifiée :

🔹 le dépôt d’une pré-plainte est-il opportun alors que ce mode de déclaration n’est pas prévu ni adapté pour les situations d’urgence ?

🔹 le point de départ du délai de 24h fixé au jour de l’attaque et non à celui de la demande de rançon est-il pertinent, alors que certains rançongiciels commencent à œuvrer bien avant que la victime en ait connaissance ?

🔹 le délai de 24h est-il tenable pour une (petite) entreprise sous le coup d’une cyber-attaque ?