D'ici le premier semestre 2023, les victimes de cyberattaques devront déposer plainte sous 72 heures si elles veulent profiter de la couverture de l'assurance. Intégrée au projet de loi Lopmi, qui a été votée à l'Assemblée nationale mercredi et sera validée au Sénat la semaine prochaine, cette nouvelle contrainte agace une partie des entreprises. Explications.
Bouleversement dans la cyber-assurance. Mercredi, les députés ont validé par 365 voix contre 102 le projet de loi d'orientation et de programmation du ministère de l'Intérieur (Lopmi). A moins d'un improbable retournement de situation, le texte sera définitivement adopté à l'issue du vote des sénateurs, le 14 décembre.
Parmi les détails les plus discutés du projet, l'article 4 anime depuis plusieurs mois un débat houleux parmi les acteurs de la cybersécurité. La raison ? Il a pour finalité de modifier le code des assurances, afin de subordonner le remboursement des pertes et dommages causés par une cyberattaque au dépôt d'une plainte par la victime, dans les 72 heures après sa découverte de l'incident.
En passe d'être votée, cette nouvelle contrainte pour les victimes de cyberattaques devrait arriver très rapidement : le projet de loi précise qu'elle entrera en vigueur trois mois après la promulgation, c'est-à-dire vraisemblablement entre les mois de mars et d'avril 2023.
Interprétée comme une victoire du lobby des assurances, la loi fait grincer les dents de certains. « L'intention est bonne, mais pas la manière », s'agace auprès de La Tribune Olivier Belondrade, vice-président du Cercle Montesquieu, une association de directeurs et directrices juridiques d'entreprise. « Quand on est victime de cyberattaque, surtout quand on est une petite entreprise, le dépôt de plainte ne fait pas partie des priorités. On pense d'abord à la communication avec les actionnaires, avec les salariés, avec les clients... », liste-t-il.
En effet, le dépôt de plainte est souvent oublié dans la réponse à incident. La gendarmerie précisait à La Tribune en début d'année que les forces de l'ordre ne recevaient qu'un dépôt de plainte toutes les 267 cyberattaques par rançongiciel réussies, alors même qu'elles peuvent apporter un soutien non-négligeable dans la réponse à incident. Mais surtout, elles ont besoin des plaintes pour récupérer le plus de données possible afin de remonter aux cybercriminels et espérer arrêter. C'est d'ailleurs une des raisons qui a motivé l'article 14 de la loi.
Newsletter
Tech & IA
Chaque jour à 13h, l’essentiel de l’actualité tech.