Interventions sur "assurance"

On entend parfois dire que la législation évolue trop vite, trop souvent ; c'est parfois juste. Mais il arrive également qu'elle évolue moins vite que les technologies et la délinquance, laquelle s'appuie sur de nouvelles technologies ; si bien que notre droit s'en trouve lacunaire. L'article 4 du projet de loi vise justement à préciser les conditions de prise en charge par les assurances des risques de cyberattaques et des conséquences des cyberattaques, dont chacun mesure l'augmentation, la fréquence ainsi que l'ampleur des dégâts économiques qui peuvent en résulter. Il s'agit également de fournir aux acteurs économiques, victimes de ces attaques, un mode opératoire clair, en les incitant à porter plainte rapidement s'ils veulent pouvoir prétendre à une indemnisation. En effet...

Par cet article, vous souhaitez inciter la déclaration rapide des cyberattaques, ce qui permettrait éventuellement aux assureurs de pouvoir se projeter et à l'État d'obtenir des données sur l'ampleur du phénomène. L'objectif d'obtenir des chiffres est louable mais le moyen pour y parvenir est pour le moins curieux, puisque vous laissez la possibilité aux assurances de rembourser les rançons exigées par les hackers. Or, comme l'explique très bien Guillaume Poupard, le président de l'Agence nationale de la sécurité des systèmes d'information (Anssi), il ne faut pas payer les rançons des cyberattaques. En effet, plus on paie des rançons, plus on injecte de l'argent dans un système frauduleux de criminalité organisée, plus le risque de cyberattaques augmente ...

...générale du Trésor, qui a pris part à la table ronde, considère que le système assurantiel est le meilleur, puisqu'il oblige les personnes assurées à respecter des standards, ce qui permet de conditionner le remboursement au dépôt d'une plainte. Au final, faut-il obligatoirement s'en remettre au marché assurantiel privé pour couvrir ce risque ? C'est un vrai débat. Je ne suis pas un grand fan des assurances privées, qui finissent toujours par s'enrichir. Je préfère la sécurité sociale.

L'article 4 est important compte tenu de l'apparition de nouvelles formes de banditisme, auxquelles tout le monde doit s'adapter : les forces de l'ordre, l'État, mais aussi les assurances. Le dispositif proposé me semble équilibré et aller dans le bon sens. Je réponds aussi à ma collègue du Rassemblement national : il est tout de même osé de prétendre que les assureurs vont devenir les complices des racketteurs sur internet ! Cela signifie que les assureurs seraient également les complices des cambrioleurs d'une maison, si son occupant est assuré ! C'est du délire complet. De nou...

Je donnerai quelques explications, qui répondront également par anticipation aux amendements, portant sur plusieurs sujets, déposés sur l'article 4. Chers collègues du Rassemblement national – et je pourrais faire la même réponse à Ugo Bernalicis –, le marché de l'assurance contre les cyberattaques existe.

... entreprises pour se protéger des cyberattaques représentent 212 millions d'euros, à mettre en regard des 62 milliards de cotisations pour la protection des dommages aux biens. Ce marché est, certes, émergent, mais il existe. L'objet du texte n'est donc pas de valider un marché assurantiel. D'ailleurs, aucun pays de l'Organisation de coopération et de développement économiques (OCDE) n'interdit l'assurance des cyberattaques, ni les assurances pour les rançongiciels. L'article 4 a fait l'objet d'une clarification et d'une amélioration en commission. Erwan Balanant vient de l'évoquer, trop peu de plaintes suivent les cyberattaques, parce que beaucoup d'entreprises craignent pour leur image, et ne respectent pas le règlement général sur la protection des données (RGPD).

Nous pourrions même faire en sorte d'avoir une couverture intégrale du risque pour les petites et moyennes entreprises, qui, elles, n'ont pas les moyens de payer une assurance pour un dédommagement intégral, en raison de leurs petits systèmes de sécurité : les entreprises du CAC40 pourraient les y aider en mettant la main à la poche. Ainsi, ce que les assurances ne font pas – il n'y a pas beaucoup de péréquation entre les gros et les petits, car cela n'est pas dans leur intérêt –, un système public le permettrait. En l'état actuel des choses, le débat parlementaire l'...

Il s'agit, vous l'avez compris, d'un amendement de suppression de l'article 4. Les experts en sécurité informatique alertent sur le risque d'appel d'air que produirait la formalisation de la possibilité de s'assurer contre les effets des rançongiciels. En effet, les compagnies d'assurances encouragent leurs clients à payer les rançons plutôt qu'à indemniser les dégâts commis. De plus, le marché de l'assurance cyber est aujourd'hui focalisé sur les grandes entreprises ou institutions, lesquelles ont les moyens de disposer de systèmes de protection performants, alors que les collectivités et les hôpitaux sont des cibles récurrentes et vulnérables des attaques. Il est urgent de trav...

M. le ministre a tracé un bon tableau de la situation. Il y a un risque nouveau, mais qui ressemble à ce qui existe dans la vie réelle. Essayons d'adopter des solutions qui fonctionnent déjà. Cher Ugo Bernalicis, je crois que vous n'avez pas bien compris que le régime des assurances, c'est déjà une mutualisation du risque !

L'assurance vous remboursera suivant les primes que vous avez payées. Cela fonctionne très bien et ne coûte pas d'argent à l'État – celui-ci peut ainsi se consacrer à d'autres tâches, par exemple payer des policiers pour trouver les méchants qui demandent des rançons. Madame Belluco, vous demandez une loi relative au numérique. C'est un droit qui existe, qui est assez fort, issu d'ailleurs en partie de choi...

...e sujet n'est donc pas là. Pour ce qui est de la sphère publique, des hôpitaux en particulier, j'espère bien qu'ils déposent systématiquement plainte ! Il y a dans le code de procédure pénale un article 40, qui oblige tout dépositaire de l'autorité publique à faire connaître sans délai au procureur de la République une infraction dont il aurait connaissance. J'espère qu'il n'y a pas besoin d'une assurance pour qu'ils se tournent vers la police ou la gendarmerie pour déposer plainte ! Nous sommes d'accord sur un point : il faut augmenter les dépôts de plainte de la sphère privée. C'est pourquoi je vous propose un système assurantiel public, un fonds de garantie, géré par les chambres consulaires. Pour ne pas taper dans la caisse, celles-ci seraient ainsi fortement incitées à assurer un maximum de ...

Je préfère donc un système parapublic, en lien avec la police, la gendarmerie et le parquet, à des assurances privées qui gèrent ces affaires en b to b, d'entreprise à entreprise. Nous ne sommes pas d'accord parce que nous n'avons pas la même approche idéologique, ce qui n'est nullement un gros mot dans ma bouche. Si nous demandons la suppression de l'article, c'est parce que nous estimons qu'il y aurait matière à le retravailler. Vous ne parlez pas de prévention ! Votre argument est tautologiqu...

...la gendarmerie dans le cyberespace, a dit une chose que nous avons entendue, et j'ai d'ailleurs souhaité que nous aménagions l'article 4 à la suite de cette table ronde à laquelle vous faites référence : selon lui, il fallait éviter que l'article cible uniquement les rançongiciels, parce que cela aurait envoyé un message qui n'est pas forcément le bon. Dans le même temps, il reconnaissait que les assurances n'étaient interdites nulle part – je le répète. Nous en avons tenu compte et nous avons élargi le champ de la mesure à toute forme de dommage ; j'accepterai même tout à l'heure, en tant que rapporteur, des amendements qui vont plus loin s'agissant des dommages et même des pertes, par exemple les pertes d'exploitation. Je rappelle aussi que nous allons faire passer le délai dans lequel la plainte...

Je vais parler de l'amendement, ne vous inquiétez pas. Nous allons vous fournir quelques arguments d'autorité, qui émanent de l'extérieur de cet hémicycle. Selon Philippe Cotelle, administrateur de l'Association pour le management des risques et des assurances de l'entreprise, « souscrire une assurance qui garantit le remboursement de la somme exigée par un rançongiciel, c'est se coller une cible dans le dos » ; quant à Johanna Brousse, vice-procureure en charge des dossiers de cybersécurité au parquet de Paris, elle a déclaré que « nous ne voulons plus payer et nous n'allons plus payer. […] La France n'est pas la poule aux œufs d'or ». Enfin, d'après...

... qu'elle voulait conforter un système assurantiel parce qu'elle pense que cela va favoriser la prévention et éviter que les cyberattaques restent impunies, tout en renforçant les dépôts de plainte. Vous pouvez l'assumer ; je ne vous en veux pas et, à votre place, j'agirais de la même manière ! Cela dit, je voudrais rappeler, s'agissant de la couverture des risques, que quelqu'un qui souscrit une assurance paie une cotisation – il me semble que c'est le cas, mais peut-être disposez-vous d'astuces pour l'éviter ? Cela ressemble un peu à un impôt privé ! Je préférerais qu'il s'agisse d'une cotisation publique, payée dans le cadre des chambres de commerce et d'industrie et qui permette de prendre en charge l'intégralité des dommages causés. C'est là le cœur de notre désaccord ! Ainsi, on mettrait fin ...

Si nous voulons qu'un maximum de personnes portent plainte, il ne faut pas mettre un délai restrictif : au-delà de vingt-quatre heures, les gens se diront que cela ne vaut pas la peine puisqu'ils ne seront pas couverts par leur assurance. Et dans le monde réel, nous savons qu'aucune compagnie d'assurances ne prévoira une clause indiquant qu'elle couvrira une partie du préjudice, même si l'assuré n'a pas déposé plainte dans les vingt-quatre heures. Celui qui aura dépassé les vingt-quatre, quarante-huit ou soixante-douze heures…