Il faut absolument bannir de l'article 4 la notion de paiement de rançon, qui est contre-productive. Par ailleurs, la remise à niveau d'un système coûte cher, mais elle est assurable, au même titre que le vol. Nous devons absolument protéger nos entreprises et faire en sorte qu'elles soient capables de procéder à la remédiation de leur système, voire à récupérer leurs données, le cas échéant en faisant appel à des prestataires externes. Tel est l'objet de l'amendement CL488, que nous avons travaillé non seulement avec les entreprises de cybersécurité, mais aussi avec la gendarmerie nationale, le ComCyberGend, les structures délivrant des labels dans ce domaine – je pense au label CyberExpert développé par la plateforme cybermalveillance.gouv.fr – et les sénateurs, en vue d'une discussion apaisée lors de la future commission mixte paritaire. Le sujet est suffisamment important pour que la réponse apportée soit transpartisane.
Il faut absolument prévoir le dépôt de plaintes, et non de pré-plaintes, car la plateforme dédiée à ces dernières indique que cette démarche est réservée aux affaires non urgentes, ce que ne sont pas les infractions de ce genre. En revanche, pour un chef d'entreprise qui se retrouve la tête dans le guidon du fait d'une cyberattaque, le délai de vingt-quatre heures est trop court. Il n'est donc pas opportun de conditionner le remboursement des dommages par l'assurance au dépôt d'une plainte dans les vingt-quatre heures suivant l'attaque. Nous proposons, pour notre part, de laisser aux victimes quarante-huit heures après la constatation de l'infraction, un délai que le ComCyberGend et l'ensemble des entreprises travaillant dans ce domaine jugent suffisant tant pour retrouver des traces informatiques en cas d'attaque que pour garantir la bonne couverture de ces risques pour les entreprises.