Publié le 28 octobre 2022 par : M. Acquaviva, M. Molac, M. Naegelen, M. Morel-À-L'Huissier.
Compléter l’alinéa 4 par la phrase suivante :
« Par dérogation, aucune clause assurantielle ne peut couvrir le paiement d’une telle rançon lorsque l’assuré est une administration de l’État, une collectivité territoriale ou un établissement public local, une juridiction, une autorité administrative indépendante, une autorité publique indépendante, une entreprise concédée ou contrôlée par l’État ou tout autre organisme soumis au contrôle d’une autorité administrative. »
Cet amendement vise à lutter contre le risque de voir des acteurs institutionnels publics payer des rançons en cas de cyber-attaque.
Lors de l’examen de cet article 4 au Sénat, au cours de la séance du 12 octobre 2022, le ministre de l’intérieur a déclaré que « Les entreprises, les acteurs économiques, les acteurs institutionnels, payent souvent des rançons – nous estimons à 25 ou 30 % le pourcentage de victimes d’attaques qui l’auraient fait .».
Notre groupe s’interroge sur le terme « acteurs institutionnels » dans cette déclaration qui laisserait entendre que des administrations publiques paieraient de telles rançons. En effet, nos administrations publiques sont de plus en plus la cible d’attaques numériques avec des rançons. Or, face à un tel phénomène, pour débloquer un service public en urgence ou même pour simplement préserver leur image, certaines administrations pourraient être tentées de payer une rançon directement. Ceci serait d'ailleurs contraire au principe de bonne gestion des deniers publics qui implique qu'une personne publique ne peut verser une somme qu'elle ne doit pas.
Il est donc proposé de supprimer la possibilité d’accéder au remboursement par une assurance lorsque le paiement de la rançon émane d’une administration publique afin de lutter contre la tentation de payer face aux menaces et aux extorsions.
Aucun commentaire n'a encore été formulé sur cet amendement.