La difficulté vient du fait que ce sujet important est abordé dans la Lopmi, au détour d'un article visant simplement à régler la question du risque assurantiel du paiement de la rançon. C'est très pénible ! Nous avons globalement de bonnes idées mais, sans étude d'impact ni avis du Conseil d'État, nous ne pouvons pas en mesurer vraiment tous les effets.
La plainte arrive toujours trop tard. Un bon attaquant ferme les tuyaux dans les trente minutes suivant l'infraction, empêchant ainsi de remonter jusqu'à lui. Je comprends donc l'idée initiale de se focaliser sur le paiement de la rançon, puisqu'il s'agit non seulement d'un flux d'argent, mais aussi d'un flux numérique que l'on peut tracer. Il y a un intérêt, pour les services enquêteurs, à recommander le paiement de cette somme pour tenter de mettre la main sur l'attaquant ou une partie du réseau. Avec la réécriture proposée, on ne parle plus de la rançon. C'est un peu dommage, d'un certain point de vue : on aurait pu subordonner le paiement de la rançon à l'accord des services enquêteurs, à des fins d'investigation.
L'entreprise n'est pas toujours la seule victime de ces attaques : les données volées sont souvent les données personnelles de ses clients – de vous et moi –, qui subissent donc eux aussi un préjudice. En cela, il s'agit d'un sujet d'intérêt général. Ce risque doit-il être couvert par un système assurantiel privé ou public ? Ne pourrait-on pas renforcer l'Anssi et tous les moyens de prévention qui vont avec ?