Le dépôt de plainte désormais obligatoire pour les contrats d’assurance cyber
Publié le 3 juillet 2023
Les cyberattaques représentent une menace croissante pour les entreprises de toutes tailles et de tous secteurs. La protection des données sensibles et la cybersécurité sont devenues des enjeux majeurs pour elles, face à des risques contre lesquels prévention et couverture d’assurance sont les seuls moyens de se prémunir.
Le 24 avril 2023, une nouvelle obligation légale, prévue dans la loi LOPMI a été instaurée. Elle prévoit l’obligation pour les victimes de cyberattaques de déposer plainte dans un délai de 72h pour pouvoir bénéficier des garanties de leurs contrats cyber.
Dans quel contexte s’inscrit cette nouvelle obligation ?
Au cours des dernières années, les cyberattaques ont fait les gros titres, avec des entreprises victimes de violations de données massives et de pertes financières considérables.
En réponse à cette situation, les assureurs ont développé des contrats d’assurance cyber pour aider les entreprises à faire face aux conséquences de ces attaques.
Cependant, le marché de l’assurance du risque cyber peine à se développer en France, en raison notamment des incertitudes liées au cadre juridique et à la difficulté de mesurer le risque cyber.
Pour y remédier, la Direction Générale du Trésor a émis, en 2021, des recommandations dans son rapport sur le développement du risque cyber, parmi lesquelles « conditionner l’assurabilité du paiement des rançons au dépôt de plainte par la victime permettrait de préserver la viabilité d’entreprises contraintes de s’acquitter de la rançon en dernier recours sans mettre en péril la répression de la cybercriminalité ».
Cette recommandation a ainsi été intégrée dans le LOPMI, dont le texte initial limitait cette obligation au paiement de la « rançon », finalement élargie à « l’atteinte à un système de traitement automatisé de données ».
Quelles sont ces nouvelles obligations ?
Depuis le 24 avril 2023, tout professionnel ou entreprise faisant l’objet de n’importe quel type d’attaque doit déposer plainte dans un délai de 72h maximum, à compter du moment où il a eu connaissance de l’incident. En cas de non-respect de ce délai, l’entreprise ne pourra pas être indemnisée par son assureur.
Ce dépôt de plainte est obligatoire pour permettre une éventuelle indemnisation au titre d’un contrat d’assurance Cyber. Il est à noter que :
- les particuliers ne sont pas concernés par cette nouvelle obligation
- cette disposition s’applique à tous les contrats d’assurance en cours, même si elle n’est pas notifiée dans les conditions générales ou particulières des contrats d’assurance
- les garanties d’assistance pourront être actionnées avant ce délai de 72h afin de limiter les conséquences de l’attaque
Que faire en cas de cyberattaque ?
La rapidité de réaction est essentielle en cas de situation de crise, afin de limiter les conséquences techniques, financières, juridiques ou d’atteinte à l’image de l’entreprise.
Les premiers réflexes à adopter :
- Éteindre les systèmes attaqués et déconnecter les accès réseaux et sauvegardes
- Alerter le support informatique et/ou transmettre les consignes aux collaborateurs
- Contacter immédiatement son conseil en assurance pour activer les garanties assistance du contrat cyber
- Alerter les forces de l’ordre via l’application gouvernementale MaSécurité ou en appelant le 17
- Déposer plainte dans un délai de 72h maximum à compter de la prise de connaissance de l’incident
- Notifier à la CNIL en cas de violation de données à caractère personnel (article 33 du RGPD), dans un délai maximal de 72h également, via le site dédié de la CNIL
- Lancer le plan de gestion de crise, notamment les process de continuité de l’activité prévus dans le Plan de Continuité d’Activité (PCA)
Afin de faciliter le travail des enquêteurs, il est primordial de rassembler tous les éléments de preuve en votre possession :
- Préserver toutes les preuves visibles de l’attaque (messages reçus, photos, journaux de connexion, captures d’écran, etc.)
- Tenir un registre de tous les évènements et actions réalisés à la suite de l’attaque
Le conseil en assurance, un soutien essentiel pour prévenir et gérer la crise
La gestion du risque cyber ne se limite pas à la survenance d’une attaque, qui dans la plupart des cas pourra être évitée ou limitée, grâce à la mise en place de mesures de protection et de prévention dont l’efficacité devra être éprouvée.
L’accompagnement du conseil en assurance constitue une ressource stratégique pour l’entreprise en matière d’audit et de transfert des risques sur le marché des assurances, de prévention et d’assistance en cas de sinistre.
Ainsi, nos équipes d’experts vous accompagnent dans la réalisation de la cartographie de vos risques, l’analyse de vulnérabilité, l’étude et le placement de vos garanties, l’activation de l’assistance dédiée en cas de crise et le suivi du sinistre au mieux de vos intérêts.