Définitivement adoptée à la mi-décembre, la loi d’orientation et de programmation du ministère de l’Intérieur (Lopmi) autorise le paiement des « ransomwares » par les assureurs en cas de cyber-extorsions. Une revendication exprimée de longue date par courtiers et porteurs de risques, qui contribue à la difficile clarification des garanties cyber.
La représentation nationale a tranché ! À l’issue de plusieurs semaines de débats, députés et sénateurs se sont mis d’accord pour autoriser le paiement des rançons par les assureurs en cas de cyber-attaque. Face à l’explosion des attaques par ransomwares, le sujet revêt encore plus d’importance, au point de susciter des passes d’armes homériques entre l’Agence nationale de la sécurité des systèmes d’information (Anssi) – défavorable à toute indemnisation des demandes de rançon qui, selon l’agence, favoriserait la délinquance et serait susceptible d’encourager le financement du terrorisme – et les assureurs, soucieux de maîtriser la sinistralité cyber et d’harmoniser les couvertures proposées aux entreprises dans le cadre de programmes d’assurance internationaux.
Au final, l’autorisation du paiement des rançons par les assureurs est conditionnée à un dépôt de plainte par l’assuré dans les soixante-douze heures après « connaissance de l’atteinte par la victime ». Une clarification qui vient à point nommé pour les courtiers, qui éprouvent des difficultés à trouver des capacités en cyber sur le marché français (220 M€ de chiffre d’affaires 2021). Pour Diego Sainz, référent technique cyber chez Verspieren : « Cette loi marque une reconnaissance de l’importance de ce type de garanties et contribuera à faire connaître plus largement ce produit dans un contexte de hausse des cyber-attaques. » « C’est une reconnaissance légale de l’existence et de l’importance de ces nouvelles...
