La cause licite et morale des garanties d’assurance de sommes extorquée à une entreprise par un pirate informatique divise les assureurs, avec une appréciation différente selon que ces assureurs sont continentaux ou anglo-saxons. L’argument habituellement opposé à l’assurabilité est celui qu’une telle garantie inciterait la commission d’une infraction que pourrait favoriser la collusion frauduleuse entre l’assuré et l’auteur de l’extorsion.
La réponse à cette question pourrait procéder par analogie avec d’autres garanties dont la licéité est également controversée, particulièrement la garantie des rançons consécutives à un enlèvement. Il est donc utile de poser le débat au regard de la réalité du phénomène « ransomware » et d’analyser les pratiques assurancielles des premiers contrats d’assurance qui appréhendent spécifiquement cette nouvelle cybercriminalité.

La réalité du phénomène « ransomware »

Un ransomware (virus d’extorsion) est un dispositif logiciel utilisé par un cybercriminel ou une organisation criminelle issue du crime organisé (mafias, triades, mouvements terroristes). L’attaque consiste à bloquer un ordinateur et à demander une rançon pour le débloquer. Les ransomwares peuvent se présenter sous deux formes. Les ransomwares, d’une part, sont fondés sur la peur qui relèvent de l’ingénierie sociale. Appelés « virus gendarmerie », ils font croire à la découverte d’activités illicites dans l’ordinateur bloqué et imposent le paiement d’une amende. D’autre part, les ransomwares, appelés cryptowares, cryptent la totalité des fichiers de données de l’utilisateur. Ces attaques, utilisant un chiffrement de haut niveau, peuvent s’avérer irréversibles.
Sans entrer dans un débat technique, l’ordinateur est infecté en exploitant une faille de sécurité pouvant exister au sein d’une application ou en ouvrant une pièce jointe d’un courriel.
D’autres attaques avec demande de rançon consistent à bloquer l’accès d’un site marchand, par exemple en utilisant un botnet et en submergeant le serveur de requêtes afin qu’il ne puisse plus en satisfaire aucune (attaques en DDoS – Déni de service distribué).
En juin 2015, le FBI a lancé un avertissement à propos de Cryptowall 4.0, le décrivant comme le ransomware le plus « actif et menaçant, visant les particuliers et entreprises américaines ». L’étude de Bitdefender a mis en évidence que 61,8% des attaques de malwares via e-mails aux Etats-Unis ont diffusé du ransomware (la plupart du temps Cryptowall et Cryptolocker). Ces chiffres montrent que les donneurs d’ordre de ces ransomwares ont fait des Etats-Unis leur priorité parce que ce pays représente un marché hautement profitable pour ce type d’attaque. En effet, en 2015, les créateurs du ransomware CryptoWall ont extorqué plus de 325 millions de dollars aux victimes américaines, selon diverses études.
En France, en avril 2016, l’AMRAE a relayé les informations de plusieurs entreprises et de la gendarmerie nationale concernant trois ransomwares particulièrement virulents (Locky, Crysis et Ke.Ranger ou Keyranger).
Enfin, l’inquiétude grandit dans les milieux de la sécurité face au développement du modèle RaaS (Ransomware as a Service) qui est un concept émergent consistant, pour les auteurs de ransomware, à proposer à des « diffuseurs » des versions personnalisées à la demande. La rançon est alors perçue par l’auteur du malware, qui la partage avec le diffuseur. Dans le modèle RaaS, l’auteur du ransomware ne perçoit qu’une petite partie des fonds (5 à 25%) tandis que le reste va au diffuseur (l’affilié). L’auteur reçoit la rançon de la victime en bitcoins. Le diffuseur a la promesse de toucher sa part via l’adresse bitcoin anonyme avec laquelle il s’est enregistré. Ce modèle, qui repose sur le réseau TOR et les bitcoins, est conçu pour masquer l’identité de l’auteur et du diffuseur aux autorités.

La cause licite et morale du contrat d’assurance

En droit des assurances comme en droit des contrats, la cause est un outil permettant de contrôler la licéité du contrat. En effet, l’article 1131 du code civil dispose que : « L’obligation […] sur une cause illicite, ne peut avoir aucun effet. », et l’article 1133 précise, pour sa part, que : « La cause est illicite, quand elle est prohibée par la loi, quand elle est contraire aux bonnes mœurs ou à l’ordre public ». Pour apprécier la licéité de la cause, la jurisprudence se fonde sur une cause dite subjective, appelée aussi cause du contrat, qui correspond aux motifs personnels qui conduisent une partie à contracter. C’est ainsi qu’en matière d’assurance automobile a été qualifiée d’illicite la garantie contre le risque de retrait de permis de conduire via la mise à disposition d’un chauffeur de remplacement, ou encore la prise en charge des amendes civiles de l’assuré.

Toutefois l’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations vient de supprimer la notion de cause telle que rappelée ci-dessus. L’article 1162 du code civil, tel qu’issu de l’ordonnance, énonce désormais que : « Le contrat ne peut déroger à l’ordre public ni par ses stipulations, ni par son but, que ce dernier ait été connu ou non par toutes les parties ». La référence aux bonnes mœurs est ici supprimée. Toutefois, l’article 6 du code civil demeure quant à lui inchangé et prévoit qu’ : « On ne peut déroger, par des conventions particulières, aux lois qui intéressent l’ordre public et les bonnes mœurs ». En outre, le texte consacre ici la jurisprudence qui retenait qu’ : « un contrat peut être annulé pour cause illicite ou immorale, même lorsque l’une des parties n’a pas eu connaissance du caractère illicite ou immoral du motif déterminant de la conclusion du contrat » (Civ. 1re, 7 oct. 1998, n° 96-14.359).

Dès lors, comment considérer la licéité d’un contrat d’assurance qui garantirait l’indemnisation d’un ransomware. La réponse à cette question pourrait procéder par analogie avec l’assurance Kidnapping, Rançon & Extorsion.

L’assurance Kidnapping, Rançon & Extorsion est incontestablement un domaine méconnu et peu maîtrisé par les entreprises et les particuliers. Généralement on justifie cette méconnaissance par l’aspect confidentiel de ce type d’assurance du fait que les trois principaux assureurs, au profil très international et anglo-saxon, représentent ensemble 90% du marché mondial, le leader détenant les 2/3 du marché. En outre, le ministère de l’Economie l’aurait interdite en vertu de l’article L.310-8, alinéa 2, du code des assurances en considérant que cette garantie pourrait inciter au kidnapping, et donc à la commission d’une infraction pénale, en encourageant les ravisseurs à enlever des personnes assurées. Cette prohibition était également fondée sur la crainte de voir les rançons financer le terrorisme de sorte que l’Etat français s’opposait à toute forme de versement. Finalement le pragmatisme l’emportait au regard de trois considérations. Tout d’abord, interdire aux assureurs français de proposer ce type d’assurance créerait une distorsion de concurrence avec les autres assureurs européens qui y sont autorisés. Les assureurs anglo-saxons proposent l’assurance kidnapping et rançons (Kidnap and Ransom, ou K & R) en justifiant le fait que l’assureur s’exécute entre les mains de l’assuré et non du ravisseur. La jurisprudence ayant confirmé que l’employeur avait la responsabilité de ses salariés lorsqu’ils sont envoyés en mission à l’étranger ou sont expatriés dans des zones considérées à risque, il en découle que, proscrite par l’ordre public interne, l’assurance de rançons serait ainsi acceptable sous l’angle de l’ordre public international français. Enfin la loi Kouchner, loi n° 2010-873 du 27 juillet 2010 relative à l’action extérieure de l’État, prévoit que l’Etat français, dans le cas d’un enlèvement de personnes à l’étranger, peut exiger « le remboursement de tout ou partie des frais engagés à l’occasion des opérations de secours ». A l’occasion de l’affaire Areva, le porte-parole du Quai d’Orsay a précisé que l’article 22 de la loi concerne les particuliers. « L’article 23 est spécifiquement limité aux cas des opérateurs de transport, des compagnies d’assurance, des agents de voyage et autres opérateurs de la vente de voyages et de séjours, ou de leurs représentants », a-t-il ajouté. Concernant les particuliers, l’article 22 exclut une demande de remboursement quand les personnes ont un « motif légitime, tiré notamment de leur activité professionnelle », a rappelé le porte-parole.

Finalement, les arguments développés en faveur de l’assurabilité des rançons semblent transposables à l’assurabilité des sommes « cyber-extorquées ». S’il fallait se prémunir de la possible collusion frauduleuse entre l’assuré et l’auteur de l’infraction, les dispositifs contractuels ne manquent pas et sont autrement efficaces que l’illicéité de la garantie. La police d’assurance peut stipuler une clause de confidentialité fonctionnant comme une condition ou une exclusion de garantie, et en tout état de cause la fraude de l’assuré peut être sanctionnée par les dispositions spécifiques du code des assurances. Reste à savoir ce que recouvrent les garanties de ces contrats « cyber extorsion ».

La pratique continentale et anglo-saxonne en matière de cyber extorsion

Très concrètement, à l’analyse de deux contrats d’assurance proposés sur le marché à ce jour, on peut observer deux tendances. La première tendance, représentée par un assureur continental, vise à garantir les frais et pertes autour d’une tentative de cyber extorsion de fonds. La seconde tendance, représentée par un assureur anglo-saxon, s’engage à accompagner l’assuré jusqu’à la prise en charge de la rançon elle-même.

Examinons les textes de garanties proposés.

La garantie « Tentative de cyber-extorsion de fonds »

Ce contrat d’assurance précise que la garantie est acquise dans le cas d’une tentative d’un tiers d’extorquer à l’assuré une somme d’argent (rançon), après avoir commis un acte de malveillance sur le système informatique de l’assuré.

Deux évènements garantis sont définis :
– une cyber-extorsion avérée : l’assureur garantit les frais ci-après définis résultant d’une tentative de cyber-extorsion de fonds ayant pour origine l’implantation dans le système informatique d’un programme malveillant (cheval de Troie, vers, virus, bombe logique…) et pour autant que ce programme malveillant soit déjà introduit dans le système informatique au moment de la demande de rançon.
– Une extension à la menace de cyber-extorsion, sans introduction de programme malveillant. Si après expertise informatique il est constaté que le programme malveillant n’a pas encore été introduit, et qu’il ne s’agit que d’une menace, l’assureur prends en charge les frais d’expertise et d’assistance informatique comme définis ci-après, et à l’exclusion des frais de protection juridique, dans la limite de 50 % de ces frais d’expertise informatique et dans la limite de deux prises en charge de ceux-ci par année d’assurance.

Les frais garantis sont les suivants :
1. Les frais d’expertise et d’assistance informatique
L’assureur garantit les frais d’expertise et d’assistance informatique pour :
– identifier l’origine, le mécanisme et l’étendue du programme malveillant portant atteinte au système informatique,
– rechercher les zones informatiques impactées par cette atteinte,
– mettre en place les actions pour supprimer le programme malveillant, et corriger les données infectées ou altérées,
– formuler les préconisations en matière de protection du système informatique et de sécurisation afin d’éviter la survenance de nouvelles attaques malveillantes.
2. Les frais de protection juridique
3. Les frais de traitement des données déjà atteintes par un acte de malveillance, c’est-à-dire les frais de traitement et de restauration du système informatique (notamment : décontamination, nettoyage, et restauration des données).

La garantie cyber-extorsion

Cette garantie, proposée par un assureur anglo-saxon, subordonne en premier lieu son application à deux conditions d’octroi de la garantie :
– Le souscripteur s’engage à ne pas divulguer l’existence de la « Garantie cyber-extorsion » et à mettre en œuvre les moyens nécessaires à cette non-divulgation.
– Le souscripteur autorise l’assureur et ses représentants à signaler aux services de police ou à toute autorité de la force publique toute menace d’extorsion.

Dans cette perspective, l’assureur s’inscrit dans une démarche d’accompagnement de l’assuré, avec le recours de spécialistes de la gestion de cyber crise. L’assureur prend en charge les frais engagés par un assuré pour mettre fin à une menace d’extorsion pendant la période d’assurance susceptible de causer un préjudice financier à la société souscriptrice ou de porter atteinte à sa réputation :
– les fonds, les instruments monétaires ou la valeur vénale des biens remis ;
– les frais et honoraires engagés auprès du « consultant cyber-extorsion » mentionné à l’annexe du contrat dont la mission est de déterminer la cause de cette menace d’extorsion et d’y mettre fin ;
– les frais et honoraires versés à un traducteur – interprète qualifié, assistant l’assuré dans le cadre d’une menace d’extorsion ;
– les frais et intérêts d’emprunt contracté par l’assuré auprès d’un établissement de crédit dans le but de payer la rançon demandée ;
– les frais de déplacement et/ou de séjour engagés par l’assuré durant le processus de négociation ;
– la récompense payée par l’assuré à une personne physique fournissant uniquement en contrepartie de cette récompense des renseignements relatifs à une menace d’extorsion qu’il serait impossible d’obtenir autrement.

Il apparait que le contrat d’assurance ainsi rédigé s’inscrit davantage dans une prestation d’accompagnement à la gestion de crise et son financement. Certains se demanderont si une telle garantie relève encore de l’assurance. D’autres considéreront que l’assureur remplit pleinement son rôle et va au-delà du simple remboursement. En tout état de cause, il y a là un champ de développement pour l’assurance de l’économie numérique, même si pour l’instant le montant des sommes extorquées représente des montants relativement faibles, exprimées en bitcoins. De là à imaginer que l’assureur proposera des garanties et des primes également exprimées en bitcoins, il n’y a qu’un pas.