Cyber-assurance : l'obligation de porter plainte sous 72 heures arrivera dès mars 2023

D'ici le premier semestre 2023, les victimes de cyberattaques devront déposer plainte sous 72 heures si elles veulent profiter de la couverture de l'assurance. Intégrée au projet de loi Lopmi, qui a été votée à l'Assemblée nationale mercredi et sera validée au Sénat la semaine prochaine, cette nouvelle contrainte agace une partie des entreprises. Explications.
François Manens
Dès 2023, les entreprises vont devoir porter plainte lors de cyberattaques si elles veulent profiter de la couverture de leur assurance.
Dès 2023, les entreprises vont devoir porter plainte lors de cyberattaques si elles veulent profiter de la couverture de leur assurance. (Crédits : Reuters)

Bouleversement dans la cyber-assurance. Mercredi, les députés ont validé par 365 voix contre 102 le projet de loi d'orientation et de programmation du ministère de l'Intérieur (Lopmi). A moins d'un improbable retournement de situation, le texte sera définitivement adopté à l'issue du vote des sénateurs, le 14 décembre.

Parmi les détails les plus discutés du projet, l'article 4 anime depuis plusieurs mois un débat houleux parmi les acteurs de la cybersécurité. La raison ? Il a pour finalité de modifier le code des assurances, afin de subordonner le remboursement des pertes et dommages causés par une cyberattaque au dépôt d'une plainte par la victime, dans les 72 heures après sa découverte de l'incident.

En passe d'être votée, cette nouvelle contrainte pour les victimes de cyberattaques devrait arriver très rapidement : le projet de loi précise qu'elle entrera en vigueur trois mois après la promulgation, c'est-à-dire vraisemblablement entre les mois de mars et d'avril 2023.

Lire aussiIndemnisation des cyber-rançons : les assureurs ravis, les experts cyber furieux

Nouvelle charge pour les victimes

Interprétée comme une victoire du lobby des assurances, la loi fait grincer les dents de certains. « L'intention est bonne, mais pas la manière », s'agace auprès de La Tribune Olivier Belondrade, vice-président du Cercle Montesquieu, une association de directeurs et directrices juridiques d'entreprise. « Quand on est victime de cyberattaque, surtout quand on est une petite entreprise, le dépôt de plainte ne fait pas partie des priorités. On pense d'abord à la communication avec les actionnaires, avec les salariés, avec les clients... », liste-t-il.

En effet, le dépôt de plainte est souvent oublié dans la réponse à incident. La gendarmerie précisait à La Tribune en début d'année que les forces de l'ordre ne recevaient qu'un dépôt de plainte toutes les 267 cyberattaques par rançongiciel réussies, alors même qu'elles peuvent apporter un soutien non-négligeable dans la réponse à incident. Mais surtout, elles ont besoin des plaintes pour récupérer le plus de données possible afin de remonter aux cybercriminels et espérer arrêter. C'est d'ailleurs une des raisons qui a motivé l'article 14 de la loi.

Mais Olivier Belondrade ne s'inquiète pas tant du dépôt de plainte que du délai qui y est attaché : « Sanctionner le non-respect du délai de dépôt de plainte par une déchéance est extrêmement sévère. C'est la seule situation en droit des assurances où c'est le cas. Même pour le vol, où une plainte est nécessaire, il n'y a pas de clause de déchéance aussi rapide. Résultat, pour une question de procédure, certaines entreprises et notamment les plus petites pourraient perdre leur couverture car elles ne penseraient pas à la plainte. » Lors d'une cyberattaque, les entreprises font généralement appel à des prestataires extérieurs pour les accompagner à la fois dans la communication de crise (auprès des clients, des partenaires, en interne...) et sur le volet informatique. Les assurances travaillent donc avec des sociétés qu'elles envoient chez leurs clients en cas de sinistre, le plus rapidement possible.

Autrement dit, des frais (de plusieurs dizaines à plusieurs centaines de milliers d'euros) sont rapidement engagés. Avec la nouvelle loi, si la victime oublie de porter plainte sous 72 heures, elle devra en théorie les prendre elle-même à charge, même si elle payait des cotisations. Seule petite victoire pour les victimes : le délai pour déposer plainte était de 48 heures dans le projet de loi initial, mais il a été augmenté de 24 heures suite à l'accord trouvé en commission mixte paritaire. Il s'aligne désormais avec le délai légal de déclaration des violations de données à la Cnil [l'autorité française des données, ndlr] intégré au règlement général sur la protection des données (RGPD).

Plus qu'une histoire de rançon

Si les discussions se sont concentrées sur le cas particulier des remboursements en cas de paiement des rançongiciels -une mesure déconseillée par les experts, mais en pratique utilisée dans l'espoir de réparer une partie des dégâts causés par l'attaque-, la loi vise en réalité un ensemble de cas de figure plus large. « Les mots rançon et rançongiciel n'ont pas été mis dans le terme de la loi, et ce n'est pas un hasard : la loi va autoriser la prise en charge au-delà du seul remboursement des rançons, en permettant le remboursement de l'ensemble des conséquences pécuniaires des cyberattaques. Certains brandissent l'argument que cette loi inciterait les criminels à passer à l'acte. Mais la réalité, c'est que les entreprises ont besoin de s'assurer », estiment les avocats de Jeantet Xavier Pernot, Pierre Linais, Fréderic Sardain et Olivier Lyon-Lynch, rencontrés par La Tribune.

Aujourd'hui, le risque cyber est déjà couvert par les assurances, mais en dehors des très grandes entreprises, peu d'organisations ont les moyens de souscrire. Le problème, c'est que les sinistres (notamment en cas de rançongiciel) peuvent être très élevés, et dépasser le million d'euros. Intégrer les PME à la masse d'assurer leur permettrait de lisser le risque, et d'éviter des effets de pic. « Cette loi apporte un changement de la prise en compte du risque cyber, qui devient uniforme à un niveau national. Or, on sait que les assureurs ont besoin de volume pour tenir un modèle viable économiquement », ajoutent les avocats de Jeantet. « C'est aussi une avancée pour les assuréspuisqu'on évite ainsi une distorsion de la concurrence entre les victimes assurées selon qu'elles se trouvent ou non dans un pays qui autorise l'assurabilité d'une rançon. »

Vers une assurance cyber obligatoire ?

Derrière le débat du délai de dépôt de plainte, certaines entreprises craignent qu'il renforce l'ambiguïté existante sur le statut des cibles de cyberattaque réussie. En effet, elles se retrouvent à la fois dans une position de victime, mais elles peuvent être aussi jugées responsables d'avoir insuffisamment protégé les données de ses clients et de ses partenaires, ce qui peut mener à des amendes administratives. Cette ambiguïté explique en partie la réticence des entreprises à porter plainte : cacher au mieux l'incident paraît pour certaines une meilleure solution pragmatique.

Pour Olivier Belondrade et les directeurs juridiques dont il relaie les opinions, la loi profite aux compagnies d'assurances -puisqu'elle consolide le cadre du marché de la cyber- mais aussi aux éditeurs et logiciels et aux pourvoyeurs de services de réponse à incidents, qui vont développer de nouveaux produits pour accompagner la mise à niveau des entreprises. Mais les potentielles victimes, elles, ne font que subir un cadre de plus en plus serré.

« Les personnes qui ont le plus de pouvoir dans l'amélioration de notre résistance face aux cyberattaques, les éditeurs, ne sont jamais désignés responsables. On pourrait par exemple avoir un cyberscore, non pas seulement pour les entreprises, mais aussi pour les produits de cybersécurité, afin de pousser à afficher plus de transparence. Mais à la place, on fait porter le poids de cette responsabilité sur la victime », regrette-t-il, avant de conclure, « s'il est décidé que l'assurance cyber est fondamentale, alors il faudrait réfléchir à la rendre obligatoire comme l'assurance civile pour louer un appartement ou comme les assurances automobiles. »

François Manens

Sujets les + lus

|

Sujets les + commentés

Commentaires 13
à écrit le 11/12/2022 à 10:04
Signaler
Madame comme vous j'ai étais cadre dans la fonction publique. J'arrivais au bureau à 09h30', m'arrêtais 2 heures le midi le temps déjeuner paisiblement au restaurant. Mon après-midi s'arrêtait à 17h. En plus de mes 7 semaines de congés payés cadre, m...

à écrit le 11/12/2022 à 9:47
Signaler
C'est vrai ! La France est une très grande puissance, tellement qu'elle pourrait le devenir encore plus ! Pour cela il faudrait appuyer sur l'accélérateur au lieu d'avoir le pied sur le frein. Et revenir à une boite de vitesse manuelle au lieu de l'a...

à écrit le 11/12/2022 à 9:47
Signaler
Réponse à Henry , vous auriez du faire une école d'ingénieur , vous auriez une autre vision des choses (de l'énergie je m'entends) .

à écrit le 10/12/2022 à 10:12
Signaler
Madame, pourquoi ne penser qu'à l'allaitement au sein ?! Dans certains pays (Asie) les parents donnent du lait de soja ou d'amandes à leur bébé. Et ils n'en sortent pas moins bien. Mieux peut-être qu'en on constate le nombre de jeunes délinquants che...

à écrit le 10/12/2022 à 10:11
Signaler
Madame, pourquoi ne penser qu'à l'allaitement au sein ?! Dans certains pays (Asie) les parents donnent du lait de soja ou d'amandes à leur bébé. Et ils n'en sortent pas moins bien. Mieux peut-être qu'en on constate le nombre de jeunes délinquants che...

à écrit le 10/12/2022 à 10:11
Signaler
Madame, pourquoi ne penser qu'à l'allaitement au sein ?! Dans certains pays (Asie) les parents donnent du lait de soja ou d'amandes à leur bébé. Et ils n'en sortent pas moins bien. Mieux peut-être qu'en on constate le nombre de jeunes délinquants che...

à écrit le 10/12/2022 à 10:11
Signaler
Madame, pourquoi ne penser qu'à l'allaitement au sein ?! Dans certains pays (Asie) les parents donnent du lait de soja ou d'amandes à leur bébé. Et ils n'en sortent pas moins bien. Mieux peut-être qu'en on constate le nombre de jeunes délinquants che...

à écrit le 10/12/2022 à 10:11
Signaler
Madame, pourquoi ne penser qu'à l'allaitement au sein ?! Dans certains pays (Asie) les parents donnent du lait de soja ou d'amandes à leur bébé. Et ils n'en sortent pas moins bien. Mieux peut-être qu'en on constate le nombre de jeunes délinquants che...

à écrit le 10/12/2022 à 10:11
Signaler
Madame, pourquoi ne penser qu'à l'allaitement au sein ?! Dans certains pays (Asie) les parents donnent du lait de soja ou d'amandes à leur bébé. Et ils n'en sortent pas moins bien. Mieux peut-être qu'en on constate le nombre de jeunes délinquants che...

à écrit le 10/12/2022 à 10:11
Signaler
Madame, pourquoi ne penser qu'à l'allaitement au sein ?! Dans certains pays (Asie) les parents donnent du lait de soja ou d'amandes à leur bébé. Et ils n'en sortent pas moins bien. Mieux peut-être qu'en on constate le nombre de jeunes délinquants che...

à écrit le 10/12/2022 à 10:11
Signaler
Madame, pourquoi ne penser qu'à l'allaitement au sein ?! Dans certains pays (Asie) les parents donnent du lait de soja ou d'amandes à leur bébé. Et ils n'en sortent pas moins bien. Mieux peut-être qu'en on constate le nombre de jeunes délinquants che...

à écrit le 10/12/2022 à 10:11
Signaler
Madame, pourquoi ne penser qu'à l'allaitement au sein ?! Dans certains pays (Asie) les parents donnent du lait de soja ou d'amandes à leur bébé. Et ils n'en sortent pas moins bien. Mieux peut-être qu'en on constate le nombre de jeunes délinquants che...

à écrit le 09/12/2022 à 17:17
Signaler
On mélange allègrement le virtuel et le réel alors que les conséquences sont le fait des victimes qui veulent l'être ! ;-)

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.