Intervention de Florent Boudié

Madame Martin, vous avez fait référence à une table ronde que nous avons organisée. Vous avez raison s'agissant de la position de la section J3 du parquet de Paris, mais moins, me semble-t-il, s'agissant de celle du ComCyberGend, le Général Boget, qui a beaucoup insisté sur la nécessité d'agir très vite – d'où le débat au sujet du délai, sur lequel je reviendrai dans quelques instants. Surtout, vous oubliez que les remarques faites par les uns et les autres portaient sur la rédaction votée par le Sénat, que nous ne pouvons pas conserver, comme l'a bien expliqué M. Latombe. En effet, cette rédaction traite des seules cyberattaques par rançongiciels, auxquels elle tend en réalité à offrir un havre de paix en Europe et dans l'OCDE. Nous cherchons, au contraire, à nous rapprocher de ce qui se passe en Allemagne, par exemple, où l'on observe une coopération entre les victimes, les enquêteurs et les assureurs. Aussi vos critiques visaient-elles une rédaction que nous entendons modifier – j'ai évidemment contribué à la réécriture proposée par un certain nombre de nos collègues.

La pré-plainte n'est pas une bonne idée car cette démarche est sommaire. Pour avoir moi-même déposé une pré-plainte en ligne après m'être fait voler un vélo il y a trois semaines, je peux vous confirmer que très peu d'éléments sont à communiquer, même si la procédure est un peu longue. Vous êtes rappelé deux, trois ou quatre jours plus tard, selon la disponibilité des services enquêteurs, pour prendre un rendez-vous physique au cours duquel vous signerez votre plainte. Or nous parlons ici d'attaques très complexes. La pré-plainte n'est donc vraiment pas un outil adapté. Un certain nombre de nos collègues préconisent de fixer le délai à quarante-huit heures, ce qui permettrait tout à fait à la victime de déposer une plainte en ligne, puisque les cyberattaques sont comprises dans le champ d'application de cette procédure.

Pour en revenir au délai, il faut trouver un compromis. Vingt-quatre heures, c'est trop tôt. Soixante-douze heures, une semaine ou quinze jours, c'est trop tard, tant pour la victime, qui ne pourrait pas profiter de l'engagement de poursuites pénales, que pour les enquêteurs, qui ont besoin d'arriver rapidement sur la scène de crime dont je parlais précédemment.

Madame Lorho, nous convenons tous que la rédaction du Sénat, qui évoque « les vingt-quatre heures suivant l'attaque », n'a pas de sens, car ce qui compte est le moment auquel la victime a constaté l'attaque. Ce n'est qu'à partir de cet instant qu'elle a des éléments tangibles qui lui permettent de porter plainte. Par ailleurs, comme le Général Boget nous l'a très bien expliqué lors de son audition, une cyberattaque, par rançongiciel ou non, se déroule généralement en deux temps : après une première pénétration dans le système informatique et une extraction des données, il se passe plusieurs jours, plusieurs semaines voire plusieurs mois avant que le pirate pénètre une nouvelle fois dans le système informatique pour crypter les données, qui deviennent alors indisponibles pour la victime. La première étape étant masquée, elle ne permet pas à la victime de constater l'attaque.

Par rapport à la rédaction insatisfaisante du Sénat, nous remplaçons donc la pré-plainte par une véritable plainte, qui pourra être effectuée en ligne, et le délai de vingt-quatre heures suivant l'attaque par un délai de quarante-huit heures après la constatation de l'attaque. Par ailleurs, nous ne visons plus simplement les rançongiciels mais l'ensemble des cyberattaques. Cela nous permet d'imaginer que les coûts de remédiation, pour reprendre les termes de M. Latombe, ou de remise à niveau des systèmes soient pris en charge par l'assurance, ou encore que les garanties ne couvrent pas uniquement le paiement de la rançon, mais également les coûts liés à la perte d'exploitation. Nous devons agir vite.

Je donne un avis favorable aux amendements identiques CL417, CL488 et CL605, qui vont dans la bonne direction et répondent à de nombreuses questions posées par les uns et les autres en défendant vos amendements et par M. Guitton s'agissant des délais. Je donne un avis défavorable aux autres amendements de la discussion commune, tout en rappelant le contexte que j'ai décrit et notre volonté de trouver des solutions à la fois équilibrées et très opérationnelles.