En juin puis octobre 2021, deux rapports parlementaires, l’un du Sénat ⁽¹⁾, l’autre à l’initiative de Valéria Faure-Muntian ⁽²⁾, ancienne députée de la Loire, ouvraient le débat de manière abrupte : le paiement de la rançon à la suite d’une attaque par rançongiciel devrait être déclaré illégal et inassurable car encourageant la cybercriminalité. Prenant le contrepied de ces rapports, le Haut comité juridique de la Place financière de Paris (HCJP) ⁽³⁾ plaidait quant à lui en faveur de l’assurabilité de la rançon mais en la conditionnant au dépôt d’une plainte pénale. Lui emboîtant le pas, la Direction générale du Trésor parvenait à la même conclusion ⁽⁴⁾.

Le HCJP tout comme la DG Trésor dressaient en tout cas un même constat : pour favoriser le développement de l’assurance cyber en France, facteur de stabilité et de résilience du tissu économique, il est nécessaire d’établir un cadre légal national clair, consacrant notamment le caractère assurable de la rançon, sous la condition du dépôt d’une plainte pénale. C’est donc dans ce contexte que le ministère de l’Intérieur présentait en Conseil des ministres, le 7 septembre 2022 ⁽⁵⁾, soit le même jour que la publication du rapport de la DG Trésor précité, son projet de loi Lopmi dont la première mouture conditionnait la couverture du paiement de la rançon au dépôt de plainte de la victime dans les quarante-huit heures après le paiement. Certains y voyaient alors une incitation pour les cybercriminels à agir, tandis que d’autres constataient qu’en pratique, peu d’entreprises victimes faisaient le choix de payer la rançon, indépendamment de sa couverture par l’assureur.