Hier, les assureurs étaient particulièrement réticents à l’idée de couvrir les pertes résultant de cyberattaques car elles n’étaient pas véritablement considérées comme des « dommages matériels » dans les termes de la police d’assurance.

L’enjeu est pourtant de taille puisque les pertes causées par les cyberattaques génèrent de nombreux préjudices auprès des sociétés qui en sont victimes :
 les frais de récupération des données
 les coûts de réparation des systèmes informatiques endommagés
 les pertes financières (exemple : les pertes de revenus et de profits)
 les coûts indirects (exemple : la perte de réputation)

Face à la multiplication des cyberattaques et, subséquemment, devant le besoin des entreprises de bénéficier d’une protection, les assureurs ont dû s’adapter à l’ère du temps. Néanmoins, l’absence de cadre légal conduisait à une pleine liberté contractuelle parfois floue pour les assurés et souvent génératrice de contentieux.

Aujourd’hui, la loi 2023-22 du 24 janvier 2023, qui entrera en vigueur le 24 avril 2023, dessine les contours de l’assurance pour garantir les pertes causées par des cyberattaques.

Cette loi va introduire un l’article unique L12-10-1 dans le Code des assurances qui dispose que :

« Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime ».

Le dépôt de plainte, désormais obligatoire pour espérer obtenir une indemnisation, se calque sur le mécanisme d’indemnisation de nombreuses autres garanties (exemple : la couverture d’un sinistre « vol » est également subordonnée au dépôt de plainte).

Le législateur s’inscrit ainsi dans une volonté affichée de lutter contre les cyberattaques puisqu’une enquête de police sera – en principe – automatiquement diligentée à raison du dépôt de plainte.

Le délai de soixante-douze heures pour déposer plainte après la connaissance de la cyberattaque n’est pas anodin. En effet, il se calque avec une certaine logique sur le RGPD (art. 33 RGPD) en ce qu’il prévoit que le responsable du traitement doit notifier la violation des données dans les 72h au plus tard à la CNIL (à défaut, la notification à l’autorité compétente devra être accompagnée des motifs de retard).
Ce délai illustre la fermeté du législateur de lutter contre les cyberattaques, en incitant la victime à révéler l’infraction rapidement pour accroitre les chances d’une répression effective.
Autrement dit, le dépôt de plainte sous un délai de 72h permettra au Parquet de diligenter une enquête peu de temps après que l’infraction ait été consommée. Par conséquent, les chances de poursuivre pénalement une ou des personnes identifiée(s) s’en trouveront multipliées.
En outre, le dépôt de plainte permettra de répertorier les cyberattaques. Ainsi, l’existence de cyberattaques de masse ou encore de « pirate en série » pourra être révélée.

En revanche, la politique de répression menée par le législateur peut également produire l’effet inverse. A cet égard, les pirates se verront plus souvent indemnisés, ce qui leur permettra de se développer et de continuer à pirater – toujours plus efficacement – les systèmes informatiques que les assureurs tenteront – toujours plus – de sécuriser.

Nous pouvons espérer qu’avec l’entrée en vigueur de cette loi, le flou résultant de la liberté contractuelle se dissipera. Néanmoins, il y a fort à parier que la promulgation d’un article unique ne suffise pas à dessiner des contours aussi solides que des remparts tenant assurés et assureurs à l’écart de toute possibilité de contentieux.