Deux événements ont bouleversé, en cette rentrée 2022, le marché de la cyber-assurance : l’exclusion par le Lloyd’s des cyber-attaques soutenues par un État et l'annonce par Bercy de l’assurabilité de principe du remboursement des rançons sous conditions.
Comme toujours en matière de cyber-risques, chaque décision officielle, qui plus est lorsqu’elle émane d’une autorité notoire, entraîne son lot de conclusions hâtives et de débats houleux. Il est de plus fréquent que le débat suscité ne soit pas axé sur les véritables enjeux et tel est à nouveau le cas en l’espèce dès lors que l’exclusion des cyber-guerres au sens large et l’assurabilité des cyber-rançons ne sont pas des composantes fondamentales de la cyber-assurance. Cette actualité est toutefois l’occasion de revenir sur ces deux points précis tout en rappelant l’intérêt réel de la cyber-assurance et la manière dont elle doit être appréhendée.
1- L’enjeu « dissimulé » de l’assurabilité des cyber-rançons : au-delà d’un remboursement, une volonté d’organiser la gestion du risque cyber
Le droit positif ne contient pas d’interdiction formelle de ce genre de garantie, le paiement de la rançon par la victime ne constituant pas en lui-même une activité illicite et n’est donc pas, en l’état, inassurable. Le Haut comité juridique de la place financière de Paris (HCJP) concluait le 28 janvier 2021 que « s’agissant de la situation de l’entreprise victime, le paiement de la rançon n’est pas en soi une infraction pénale ». En revanche, la question se pose « par rapport à l’infraction de financement du terrorisme. Cette infraction étant caractérisée par la connaissance que les fonds fournis sont destinés à être utilisés, en tout ou partie, en vue de commettre (un acte de terrorisme) ».
En conséquence, le paiement de la rançon par l’entreprise victime d’une attaque cyber n’est pas pénalement répréhensible sous réserve du cas de...
