Une nouvelle disposition est ainsi insérée dans le Code des assurances :
« Art. L. 12-10-1.-Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime.
Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle ».
Cet article entre en vigueur trois mois après la promulgation de ladite loi.
Quel est le contexte ?
En septembre 2021, la Direction Générale du Trésor avait publié un rapport sur le « développement de l’assurance du risque cyber ».
- Le rapport mentionnait que : « conditionner l’assurabilité du paiement des rançons au dépôt de plainte par la victime permettrait de préserver la viabilité d’entreprises contraintes de s’acquitter de la rançon en dernier recours sans mettre en péril la répression de la cybercriminalité ».
La LOPMI 2023, promulguée le 24 janvier, intègre cette recommandation et vient par la même occasion clarifier le cadre juridique applicable.
Initialement, le texte devait contenir le terme « rançon » mais, à la suite des débats parlementaires, il a été décidé d’élargir son périmètre en remplaçant par : « l’atteinte à un système de traitement automatisé de données ».
Cette disposition a été vivement commentée et critiquée par les professionnels de la cybersécurité car elle vient légaliser officiellement la possibilité pour les assureurs de rembourser les rançons. Cela a suscité l’incompréhension alors qu’en 2021 un rapport de l’Assemblée Nationale souhaitait inscrire dans la loi l’interdiction de cette pratique [2].
Que faut-il retenir ?
Si votre entreprise est victime d’une cyber-attaque, il est nécessaire de porter plainte dans les 72h après la connaissance de l’attaque afin de se faire indemniser par son assureur.
Il est important d’anticiper ces problématiques afin de limiter les risques pour les entreprises via des outils techniques, opérationnels et juridiques.