C'est un article, passé relativement inaperçu, qui suscite l'inquiétude. Une disposition du projet de loi d'orientation et de programmation du ministère de l'Intérieur prévoit une possibilité pour les personnes victimes de cyberattaque de recevoir une indemnité, à condition de porter plainte 48h après le paiement de la rançon. Un changement radical de doctrine en la matière.
D'autant qu'aujourd'hui, n’importe quel cyber-enquêteur donne pour consigne de ne surtout pas payer la rançon. D’abord parce que les victimes n'ont aucune garantie de retrouver leurs données et ensuite, rien ne dit que le pirate informatique ne reviendra pas la semaine prochaine sur un ordinateur qu'il connaît désormais par cœur.
Même si, dans les faits, certaines victimes acceptent de payer la rançon pour débloquer plus rapidement leur système, les consignes gouvernementales sont fermes sur la question : il ne faut pas donner un seul centime aux hackers afin de ne pas alimenter une forme de trafic de rançons.
Les assurances pourraient se montrer réticentes
D’où l’étonnement de plusieurs enquêteurs spécialisés à la découverte de cette nouvelle disposition dans le projet de loi. Certains regrettent de ne pas avoir été associés à la réflexion. "Aucune assurance ne couvre dans la vraie vie les risques de séquestration ou d’enlèvement. Pourquoi le ferait-on dans le champ cyber ?", s’interroge l'un d'entre eux.
Les assurances elles-mêmes peuvent se montrer réticentes à couvrir les cyberattaques par rançongiciel. "Elles perdraient des millions au vu des sommes astronomiques de certaines rançons demandées", décrypte un spécialiste du secteur. Par conséquent, ce qui, à première vue, pouvait relever du bon sens, risque d’induire in fine un sentiment d’impunité chez le hacker qui aura la certitude d’être payé puisque sa victime pourra ensuite se retourner vers son assurance.