L’hôpital de Corbeil-Essonnes a refusé de payer la rançon demandée par les hackers qui, dans la nuit du 20 août, ont fomenté une cyberattaque bloquant son système informatique. On parle d’une somme de dix millions de dollars. L’établissement hospitalier avait-il les moyens de réunir une telle somme ? Il semble que la question ne se soit pas posée, puisque la direction du complexe de santé a opposé aux malfaiteurs la même détermination – celle de ne pas céder – lorsque ceux-ci ont ramené leurs exigences à un ou deux millions. Si les choses se sont déroulées ainsi, cela vaut un coup de chapeau ! Cependant, une question titille : que se serait-il passé si l’hôpital s’était prémuni de ce risque en souscrivant une assurance ?
On trouve la réponse dans le projet de loi du ministre de l’Intérieur actuellement en discussion au Sénat, puisque celui-ci prévoit, en cas de cyberattaque, de pérenniser le paiement d’une rançon en insérant un nouvel article dans le code des assurances. Si ce texte est adopté, les assureurs pourront donc payer la rançon demandée par les hackers sous réserve que l’entreprise ait déposé une plainte dans les 48 heures.
Gérald Darmanin serait-il prêt à baisser culotte ?
Il sera intéressant de scruter la réponse du législateur, car depuis les années soixante-dix, alors que les rapts crapuleux étaient fréquents, la position des autorités a été claire : on ne paie pas de rançon ! Et la police œuvrait pour convaincre les proches de l’otage de ne pas céder au chantage à la vie. Même si ça ne marchait pas à tous les coups, comme lors de l’enlèvement par Jacques Mesrine d’Henri Lelièvre, le milliardaire de la Sarthe, en 1979.
Lorsque les enlèvements crapuleux ont fait place à des enlèvements plus ou moins terroristes, la question s’est de nouveau posée et la règle a été assouplie : on paie, mais on ne le dit pas. Même s’il apparaît difficile de le démontrer, la France a souvent fait le dos rond. On comprend bien que la libération de tel ou tel otage ne peut être que le résultat d’une négociation. En 2014, le président Obama s’en était d’ailleurs indigné : « François Hollande dit que son pays ne paie pas de rançons aux terroristes alors qu’en réalité, il le fait ! » Ce qui revient à admettre, malgré les coups de menton politiques, que l’on finance le terrorisme.
Or, l’article 421-2-2 du code pénal incrimine non seulement le financement d’une entreprise terroriste, mais également le seul fait de gérer des fonds, des valeurs ou des biens dans ce but. Plusieurs résolutions du Conseil de sécurité des Nations unies vont d’ailleurs dans le même sens.
Pour obtenir la libération d’un otage, les autorités sont donc face à un problème contradictoire : financer des organisations terroristes ou ne pas assumer la protection que doit chaque pays à ses ressortissants – le « droit à la vie » tel qu’il est défini par l’article 2 de la Convention européenne des droits de l’homme.
Mais en est-il de même si l’otage est un système informatique ? Il faut d’abord admettre un postulat : l’argent obtenu à l’aide de rançongiciels sert à financer la criminalité organisée ou le terrorisme. Cependant, lorsque l’on s’en prend à un lieu public ou à une administration, on ne peut exclure que les hackers obéissent à des objectifs plus politiques. D’après certains experts, la cyberattaque contre l’hôpital de Corbeil-Essonnes pourrait provenir d’un groupe cybercriminel situé en Russie. Dans le contexte actuel, si cette hypothèse devait se confirmer, on pourrait ne plus être dans la criminalité de profit, mais dans du terrorisme d’État.
L’année dernière, après la cyberattaque qui a paralysé Colonial Pipeline, un système d’oléoducs américain – la plus importante attaque menée contre une infrastructure pétrolière aux États-Unis -, le président Biden a déclaré l’état d’urgence. Le FBI a désigné le groupe DarkSide comme responsable. « Il n’y a aucune preuve de nos services de renseignements que la Russie soit impliquée, a dit le président Biden, mais il y a des preuves que le rançongiciel des acteurs se trouve en Russie. » Lors d’une rencontre avec le président Poutine (c’était avant la guerre en Ukraine), il s’est dit prêt à prendre toutes les mesures nécessaires pour défendre les sites américains.
Aussi, ce petit article de coin de table destiné à être inséré dans le code des assurances paraît bien fade. Peut-on régler une menace qui, au-delà de son impact financier, concerne les structures mêmes de l’État et la paix publique, avec quelques lignes rajoutées à la va-vite dans une loi-fleuve ? Un projet de loi qui se veut pourtant ambitieux puisque dans sa présentation il est question « d’une révolution copernicienne comparable à la création de la police judiciaire de Georges Clemenceau » pour lutter contre la cybercriminalité (alors que la PJ est vouée à la casse, la référence à Clemenceau me semble bien osée). Cette défense est puérile. C’est une fuite en avant. Toutefois, pour rester positif, en incitant les entreprises attaquées à déposer plainte dans les 48 heures, ce texte permettra au moins de cerner l’importance du cyberpiratage dont sont victimes les entreprises françaises.
À dire vrai, je ne suis pas sûr que nos dirigeants aient pris conscience de l’importance du problème… Mais au-delà du scepticisme, que faudrait-il faire ?
Des experts se sont regroupés en une « Ransomware Task Force » pour attirer l’attention des gouvernements et les inciter à prendre des mesures. Ils ont fait une cinquantaine de recommandations, sans toutefois parvenir à trancher : faut-il oui ou non interdire le paiement des rançons ? En fait, il n’y a pas le choix du choix : payer, c’est un puits sans fond.
Mais comment s’y prendre ?
Certains proposent une législation forte et un accompagnement aux entreprises, tant pour prévenir les risques que pour les aider financièrement à tenir, face à un blocage de leur système informatique. Peut-être ne serait-il pas idiot de créer un fonds de soutien comme celui qui existe pour les victimes du terrorisme…
C’est une guerre secrète qui est en marche, et pour une fois, ce ne sont pas des hommes qui risquent leur peau, mais des entreprises. Il n’y aura pas de sang, mais des larmes. C’est un challenge pour notre pays, monsieur Macron !
Et, puisque l’on parle de prise d’otages, une pensée pour Olivier Dubois, enlevé au Mali il y a plus de quinze mois et retenu captif par une organisation terroriste affiliée à Al-Qaïda. C’est un journaliste indépendant. Pour lui, pas d’assurance pour payer la rançon, rien, personne pour l’aider, à l’exception de ses proches, de ses collègues, de ses amis qui, avec l’aide de syndicats de journalistes, de Reporters sans frontières, etc., se battent pour qu’on ne l’oublie pas.
Laisser un commentaire