Village de la Justice www.village-justice.com
LOPMI : L’assurance des risques de cyberattaques. Par Nathalie Devillier, Docteur en Droit.
Parution : vendredi 17 février 2023
Adresse de l'article original :
https://www.village-justice.com/articles/lopmi-l-assurance-des-risques-de-cyberattaques-par-nathalie-devillier-docteur,45239.html
Reproduction interdite sans autorisation de l'auteur.

Les cyberattaques menaçant la viabilité de nombreuses entreprises françaises, le législateur est intervenu pour poser le principe de l’assurabilité des risques cyber. Ainsi, parmi les dispositions relatives à « la révolution numérique du ministère de l’intérieur », la loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) encadre le paiement d’une « cyber-rançon » pour sortir les victimes d’une zone grise.

I. Les cyberattaques n’épargnent personne.

L’attaque par rançongiciel consiste selon l’ANSSI : « en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement ».

Les données sont en quelque sorte prises en otage, mais le paiement de la rançon ne garantit nullement leur « libération » par le criminel. Or, tant que les données sont bloquées, chaque minute qui passe est synonyme de pertes d’exploitation pour l’entreprise qui subit aussi une atteinte à sa réputation. La tentation est donc forte de payer pour relancer l’activité dès que possible et de passer l’attaque sous silence. Cette réaction qui alimente un système mafieux est à proscrire (lire ici les conseils de Cyber-malveillance).

Tous les secteurs sont concernés mais les entreprises sous-estiment encore l’impact d’une cyberattaque sur leur activité. L’amplitude du phénomène met la résilience du tissu économique à rude épreuve, c’est pourquoi le marché de l’assurance du risque cyber est apparu comme une réponse adaptée pour renforcer les capacités de résister aux attaques cyber.

Toutefois, avant l’adoption du dispositif prévu par la LOPMI, les garanties offertes par les polices d’assurance n’étaient pas suffisamment communiquées aux assurés, personnes physiques comme personnes morales, le libellé et la signification des produits étaient parfois ambigus. La couverture était ainsi implicite, donnant aux garanties en cyberassurances un caractère non affirmatif (on parle de couverture silencieuse). Les gendarmes français et européens de l’assurance avaient d’ailleurs alerté leurs membres et recommandé qu’ils rendent « plus explicites les formulations des termes et conditions des polices en ce qui concerne la couverture ou l’exclusion de ces risques, pour permettre une offre exempte d’ambiguïté vis-à-vis des preneurs d’assurance » (Autorité de Contrôle Prudentiel et de Résolution [1], septembre 2022 et EIOPA [2] ).
Le code des assurances, modifié par arrêté du 13 décembre 2022, est venu séparer le risque cyber en deux éléments pour faciliter leur suivi : d’une part les garanties cyber portant sur les dommages aux biens consécutifs aux atteintes aux systèmes d’information et de communication et, d’autre part, celles portant sur les pertes pécuniaires consécutives aux atteintes aux systèmes d’information et de communication.

II. Les moutures successives du principe de l’assurance des risques de cyberattaques.

La LOPMI créée un chapitre X au code des assurances avec l’article L 12-10-1 :
« Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime.
Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle ».

Le principe d’assurabilité des rançongiciels et ses contours ont donné lieu à de vifs débats début septembre 2022 alors que le ministre de l’Intérieur Gérald Darmanin présentait le projet de LOPMI en Conseil des ministres. Annoncé initialement sans condition, il allait clairement à l’encontre de la doctrine officielle qui est de ne jamais payer de rançon, et fit donc bondir le directeur de l’ANSSI, Guillaume Poupard.

Appel au crime pour certains, fruit du lobby des assureurs pour d’autres, le débat s’est ensuite porté sur la capacité de décision de l’assuré au motif que l’assureur ne décide pas de payer la rançon mais se borne à « accompagner l’assuré » s’il le fait. Plusieurs amendements sur l’interdiction de la couverture du paiement des rançongiciels furent proposés par le Sénat, mais rejetés.

Le terme ‘rançon’ fut donc supprimé en Commission des lois en novembre pour devenir ‘le paiement d’une somme en application d’une clause assurantielle visant à indemniser’ une cyberattaque, tout en le subordonnant au dépôt d’une plainte dans un délai de 48 heures.

Or, nombreuses sont les TPE/PME, collectivités qui ignorent comment réagir en cas de cyberattaque. Le délai de deux jours était donc jugé inadapté. Certains élus ont proposé dans un amendement de repli un délai de quinze jours ! Mais l’absence de plainte complique la tâche des enquêteurs. Au final, les députés LIOT, LR, PS et RN ont adopté des amendements identiques pour un délai de 72 heures.

Les peines encourues en cas de cyberattaques contre un réseau informatique ou bancaire, les hôpitaux et les services de numéros d’urgence ont été aggravées : dix ans d’emprisonnement et à 300 000 euros d’amende.
Le gouvernement devra remettre d’ici la fin de l’année deux rapports évaluant la protection des collectivités locales et des entreprises face aux cyberattaques.

III. La résilience des entreprises françaises : un enjeu de souveraineté.

Le principe de l’assurabilité des risques cyber vise à renforcer la viabilité des entreprises, en particulier les TPE/PME, et ainsi soutenir le tissu économique français.

L’appréhension de ce nouveau risque par le secteur de l’assurance a donné lieu à un rapport portant sur « Le développement de l’assurance du risque cyber », dans lequel la Direction générale du Trésor propose un plan d’action visant à répondre au défi que les risques cyber représentent pour les entreprises. Fruit d’un travail consultatif avec les parties prenantes du secteur (entreprises, assureurs, ANSSI, actuaires et académiques), l’ambition est de « faire de la Place de Paris un pôle d’expertise en matière d’assurance cyber ».

La LOPMI prévoit aussi :
- une hausse du budget de l’Intérieur de 15 milliards d’euros sur les cinq prochaines années,
- la création de l’équivalent numérique de "l’appel 17", le 17 Cyber, pour signaler en direct une cyberattaque ou une escroquerie en ligne,
- la création d’une une école de formation cyber au sein du ministère, et
- le déploiement de 1 500 « cyber-patrouilleurs » d’ici 2027.

Le code de procédure pénale est, en outre, modifié pour permettre aux policiers, sur autorisation de la justice, de saisir des actifs numériques.

Pour autant, c’est un débat plus large sur la cybersécurité et la cybercriminalité qui devrait avoir lieu dans notre pays selon le député Mounir Belhamiti (Renaissance) : « Comment mesurer le niveau de cybersécurité du pays ? Comment accompagner les acteurs publics et privés et organiser les forces cyber ? »

C’est le moins que l’on puisse attendre de la France, dans le droit fil de l’Appel de Paris pour la confiance et la sécurité dans le cyberespace [3].

Nathalie Devillier, Docteur en Droit.
Comentaires: