La codification de l’assurance des risques de cyberattaques
A partir du 23 avril 2023, les professionnels qui souhaitent être indemnisés d’une cyberattaque en application de la clause d’un contrat d’assurance, devront déposer une plainte dans les 72 heures suivant celle-ci.
Le mercredi 7 décembre 2022, le projet de loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) a été voté par l’Assemblée nationale. L’objet principal de la loi réside en son article 4 qui modifie le code des assurances afin de soumettre l’indemnisation des dommages causés par une cyberattaque au dépôt d’une plainte par la victime, auprès des autorités compétentes, au plus tard 72 heures après qu’elle ait eu connaissance de l’incident. L’article précise qu’il ne s’applique qu’aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle.
Les systèmes de traitements automatisés de données visés sont ceux qui sont mentionnés aux articles 323-1 à 323-3-1 du code pénal.
Cette loi est perçue comme une victoire du lobby des assurances. De leurs côtés, les chefs d’entreprises ont soulevé qu’en cas de cyberattaque, le dépôt de plainte ne faisait pas partie de leurs priorités. Un rapport de gendarmerie souligne en ce sens qu’en 2022 les forces de l’ordre n’ont reçu qu’un dépôt de plainte toutes les 267 cyberattaques. De plus, le temps laissé aux professionnels pour effectuer la plainte est pointé du doigt.
Cette nouvelle disposition entrera en vigueur le 23 avril 2023.