Il est tout à fait bienvenu qu'un article de la Lopmi prévoie un dispositif permettant de prendre en charge les victimes de cyberattaques, d'accompagner et de renforcer l'action des services d'enquête et de fixer un cadre pour l'évaluation des dommages. C'est une première étape majeure vers une montée en compétences des organisations victimes de cyberattaques. Cependant, la doctrine des structures chargées de la lutte contre les cybermenaces et de l'accompagnement de la cyberprotection – je pense, entre autres, à l'Agence nationale de la sécurité des systèmes d'information (Anssi) et à la plateforme cybermalveillance.gouv.fr – a toujours été de ne pas payer de rançon. La démarche proposée est plutôt d'informer la police ou la gendarmerie de la cyberattaque et des dommages subis, en utilisant par exemple la plateforme que je viens de citer, et de porter plainte.
Dès lors, il convient de modifier la formulation de l'article 4 afin de conforter l'action et la méthode de travail promues depuis des années par les services de sécurité. Il s'agit de protéger les victimes, qui peuvent être des PME, des artisans, des commerçants, des collectivités locales, des associations ou d'autres types de structures, tout en favorisant un renforcement de leur niveau de cyberprotection et en faisant du lien entre assurances et assurés un levier permettant d'améliorer le niveau de sécurité des systèmes d'information.
Aussi l'amendement CL417 vise-t-il à élargir l'obligation de dépôt de plainte à tout remboursement assurantiel de dommages matériels ou immatériels causés par une cyberattaque, plutôt que de la limiter au remboursement des rançons, qui ne sont pas si nombreuses. En outre, il porte de vingt-quatre à quarante-huit heures le délai dont disposent les victimes pour porter plainte à partir du moment où elles constatent l'infraction.