Pourquoi proposez-vous d’inscrire dans la loi l’interdiction pour les assureurs de « garantir, couvrir ou indemniser la rançon » en cas d’attaque des entreprises par rançongiciel ?

La plupart des assureurs réclamaient une clarification de la position du gouvernement sur le risque cyber. Mon rapport parlementaire a été reçu de manière positive parce que le flou artistique qui régnait était synonyme d’insécurité pour les assureurs et leurs clients. Seul bémol, certains ont mal vécu ma proposition, considérant qu’elle enlevait les dernières possibilités de survie de certaines entreprises. Je leur ai répondu qu’il était utile de se pencher sur les moyens de faire de la prévention pour éviter de payer une rançon. À mon sens, on ne négocie pas avec des criminels et on ne finance pas la criminalité en cryptomonnaies. Il faut éduquer à la cybersécurité dès l’école. C’est une recommandation des parlementaires comme de la présidente de France assureurs, Florence Lustman. Il y a donc urgence à réagir et proposer une évaluation précise des risques, une couverture et un accompagnement des entreprises. Les assureurs ont leur rôle à jouer car ce sont des « préventeurs » par définition.

Le projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) conditionne l’indemnisation au dépôt d’une plainte. Est-ce une avancée ?

Adoptée en conseil des ministres le 16 mars, la LOPMI contient des dispositions diverses, notamment une adaptation aux risques cyber. En cas d’attaque par rançongiciel, le remboursement par les assurances sera conditionné au dépôt d’une plainte par la victime dans un délai de quanrante-huit heures suivant le paiement de la rançon. Cela permettra à l’autorité judiciaire de pouvoir rapidement procéder à une enquête. Le texte crée dans le Code des assurances un chapitre relatif à l’assurance des risques de cyberattaques, avec un article unique « subordonnant le paiement d’une garantie assurantielle en matière de cyber-attaque au dépôt d’une plainte au plus tard dans les quarante huit heures suivant le paiement de la rançon ». À condition que l’entreprise soit assurée car la plupart des entreprises ne sont pas assurées contre le risque cyber. On estime que 87 % des grandes entreprises sont couvertes contre le risque cyber (moins de 8 % des entreprises de taille intermédiaire). Cette avancée a été saluée par les assureurs. Je m’en suis ému en m’interrogeant sur l’intérêt de la démarche : avoir des statistiques ou s’inspirer de la pratique des États-Unis selon laquelle le paiement d’une rançon est impossible sans l’intervention des services de police spécialisée ? En 2020, le marché du risque cyber en France était estimé à 135 M€ de chiffre d’affaires et il était considéré comme la première menace pour l’économie française, d’après le baromètre annuel des risques d’Allianz. Mon rapport prend tout son sens. On sait que l’Ukraine a subi des cyberattaques en amont de l’attaque conventionnelle du 24 février par la Russie.

Vous renoncez aujourd’hui à un nouveau mandat dans la prochaine législature (2022-2027). Quand achevez-vous votre travail parlementaire ?

Je reste députée jusqu’au soir du second tour de la présidentielle [le 24 avril 2022, NDLR]. Originaire d’Ukraine et présidente du groupe d’amitié France-Ukraine à l’Assemblée nationale, je participe à des opérations de coordination du bénévolat depuis le début du conflit. Et je continue à promouvoir le rapport sur la cybersécurité au niveau européen. Outre des rencontres à Bruxelles avec le cabinet de la présidente de la Commission, Ursula von der Leyen, et l’agence de l’Union européenne pour la cybersécurité (ENISA), j’attends un rendez-vous avec l’autorité de régulation de l’assurance (EIOPA) pour évoquer ce sujet. Il y a une vie après l’Assemblée même si je n’ai pas pour l’heure de visibilité sur la suite.