L’hôpital de Corbeil-Essonnes a refusé de payer la rançon demandée par les hackers qui, dans la nuit du 20 août, ont fomenté une cyberattaque bloquant son système informatique. On parle d’une somme de dix millions de dollars. L’établissement hospitalier avait-il les moyens de réunir une telle somme ? Il semble que la question ne se soit pas posée, puisque la direction du complexe de santé a opposé aux malfaiteurs la même détermination – celle de ne pas céder – lorsque ceux-ci ont ramené leurs exigences à un ou deux millions. Si les choses se sont déroulées ainsi, cela vaut un coup de chapeau ! Cependant, une question titille : que se serait-il passé si l’hôpital s’était prémuni de ce risque en souscrivant une assurance ?

On trouve la réponse dans le projet de loi du ministre de l’Intérieur actuellement en discussion au Sénat, puisque celui-ci prévoit, en cas de cyberattaque, de pérenniser le paiement d’une rançon en insérant un nouvel article dans le code des assurances. Si ce texte est adopté, les assureurs pourront donc payer la rançon demandée par les hackers sous réserve que l’entreprise ait déposé une plainte dans les 48 heures.

Gérald Darmanin serait-il prêt à baisser culotte ?

Il sera intéressant de scruter la réponse du législateur, car depuis les années soixante-dix, alors que les rapts crapuleux étaient fréquents, la position des autorités a été claire : on ne paie pas de rançon ! Et la police œuvrait pour convaincre les proches de l’otage de ne pas céder au chantage à la vie. Même si ça ne marchait pas à tous les coups, comme lors de l’enlèvement par Jacques Mesrine d’Henri Lelièvre, le milliardaire de la Sarthe, en 1979.

Lorsque les enlèvements crapuleux ont fait place à des enlèvements plus ou moins terroristes, la question s’est de nouveau posée et la règle a été assouplie : on paie, mais on ne le dit pas. Même s’il apparaît difficile de le démontrer, la France a souvent fait le dos rond. On comprend bien que la libération de tel ou tel otage ne peut être que le résultat d’une négociation. En 2014, le président Obama s’en était d’ailleurs indigné : « François Hollande dit que son pays ne paie pas de rançons aux terroristes alors qu’en réalité, il le fait ! »  Ce qui revient à admettre, malgré les coups de menton politiques, que l’on finance le terrorisme.

Or, l’article 421-2-2 du code pénal incrimine non seulement le financement d’une entreprise terroriste, mais également le seul fait de gérer des fonds, des valeurs ou des biens dans ce but. Plusieurs résolutions du Conseil de sécurité des Nations unies vont d’ailleurs dans le même sens.

Pour obtenir la libération d’un otage, les autorités sont donc face à un problème contradictoire : financer des organisations terroristes ou ne pas assumer la protection que doit chaque pays à ses ressortissants – le « droit à la vie » tel qu’il est défini par l’article 2 de la Convention européenne des droits de l’homme.

Mais en est-il de même si l’otage est un système informatique ? Continue reading