Si j'ai bien compris, M. Léaument souhaite laisser la main aux assureurs.
D'abord, si j'en crois les propos tenus lors d'une table ronde absolument pas univoque que j'avais organisée, les policiers et les gendarmes demandent, pour protéger la victime et pour faciliter les investigations, de la célérité dans la réaction. Dès la constatation de l'attaque – plusieurs amendements visent à préciser ce moment –, il faut agir.
Ensuite, très rares sont les plaintes déposées. Elles sont traitées par la section J3 du parquet de Paris, dédiée à la cybercriminalité, qui, en dépit d'une compétence nationale, compte trois magistrats seulement, là où il en faudrait au moins deux de plus. Dans mon rapport, je mettrai en exergue ce problème même s'il ne relève pas du projet de loi.
On dénombre 136 familles de rançongiciels. Le marché existe donc déjà. Les rançongiciels sont vendus à des organisations criminelles qui s'attaquent à une maternité, à un hôpital, etc. – les exemples ne manquent pas.
Lors des Jeux olympiques de Tokyo en 2021, 70 000 cyberattaques ont été répertoriées, soit neuf fois plus qu'aux jeux de Londres en 2012. On peut supposer que ce nombre augmentera encore fortement lors des prochains jeux de Paris. Nous devrons être dotés alors d'un dispositif efficace.
Des moyens significatifs sont consacrés à la lutte contre la cybercriminalité. La sous-direction cyber de la direction centrale de la police judiciaire compte 160 agents, des effectifs appelés à monter en puissance tandis que CyberGend, l'unité de la gendarmerie, dispose aujourd'hui de 8 000 référents – 10 000 en 2024.
L'article n'a pas pour objet de consolider le marché de l'assurance. L'assurance cyber représente aujourd'hui 219 millions d'euros de cotisations contre 62 milliards d'euros pour les dommages aux biens, soit 0,35 % du marché de l'assurance.
Aucun pays de l'OCDE n'interdit le marché de l'assurance pour les rançongiciels et les cyberattaques. Il est normal qu'il se développe. Nous devons cependant inciter les victimes à déposer plainte. Certaines entreprises sont réticentes pour diverses raisons : parfois, elles ne respectent pas le règlement général sur la protection des données (RGPD) ; parfois, elles veulent protéger leur image en taisant une fragilité interne.
Il faut donc trouver un mécanisme qui permette à la fois de protéger la victime, à travers le dépôt d'une plainte et l'engagement de poursuites, et de donner aux enquêteurs la possibilité de capter toutes les données nécessaires à une lutte plus efficace contre les cyberattaques et les rançongiciels en particulier.
Au vu de l'ampleur prise par la cybercriminalité, qui relève du crime organisé, il est urgent que nous nous dotions d'un tel dispositif. Lors des auditions que nous avons menées, le commandant de la gendarmerie dans le cyberespace (ComCyberGend) nous a expliqué qu'une attaque cyber était une scène de crime, et qu'il fallait donc arriver aussitôt pour détecter tous les éléments nécessaires et en assurer la traçabilité. Certains groupes ont déposé des amendements visant à porter à une ou deux semaines le délai dont disposent les victimes pour réagir. Un tel délai serait trop long pour les enquêteurs : il ouvrirait une autoroute aux cybercriminels !
Pour toutes ces raisons, la suppression de l'article 4 serait une véritable erreur dans un monde qui bouge beaucoup et où la cybercriminalité se développe chaque jour davantage.