Par Haas Avocats
Avec l’accélération de la transition digitale, le risque informatique pénètre l’ensemble des secteurs : acteurs de la santé, groupes industriels, entreprises du numérique, administrations étatiques, collectivités territoriales, établissements publics.
Personne n’est épargné par ce fléau comme en atteste nombre d’actualités récentes.
Organiser sa résilience face à ce type de risque suppose notamment de faire le point sur sa couverture assurantielle. Il s’agit même d’un des éléments clés ayant vocation à être mis en œuvre dans le cadre du pilotage juridique d’une crise cyber.
Les décideurs se trouvent alors confrontés à une première difficulté : trouver une compagnie acceptant de couvrir le risque cyber dans un contexte où les assureurs ont drastiquement resserré les contraintes d’accès à de telles polices. L’organisme devra ici justifier de sa stricte conformité à la réglementation sur la protection des données, tout en attestant de la mise en place de procédures clés dédiées à la sécurité de ses systèmes d’information. L’authentification multi facteurs ou « mfa » en est un exemple.
Une seconde difficulté à prendre en compte est celle de l’éligibilité à la couverture assurantielle en cas de sinistre cyber. Ce point crucial doit également être anticipée. Il s’agit ici de vérifier les causes d’exclusion de garantie prévues au sein de la police à laquelle il a été souscrit tout en s’assurant du respect des contraintes légales et réglementaires applicables et dont la violation pourrait exclure toute couverture.
C’est précisément sur ce second point qu’intervient, l’article 5 de la Loi d’Orientation et de Programmation du ministère de l’Intérieur (ci-après « LOPMI ») fixant l’encadrement juridique des couvertures cyber.
Publiée au Journal Officiel le 25 janvier 2023, la LOPMI introduit un nouveau chapitre au sein du code des assurances, intitulé « L’assurance des risques de cyberattaques ». Un article unique, l’article L.12-10-1 y fixe le régime juridique applicable à l’assurance des cyber-attaques.
Ce régime juridique entrera en vigueur à compter du 24 avril 2023.
Afin d’être indemnisée en cas de cyberattaque, toute personne, physique ou morale, et agissant dans le cadre de son activité professionnelle, doit répondre à un ensemble de conditions, fixé par l’article 5 de la LOPMI.
Tout d’abord, la personne doit, au préalable, avoir souscrit à un contrat d’assurance cyber risque.
En outre, l’assuré doit, d’une part, avoir été victime d’une atteinte à un système de traitement automatisé de données, et, d’autre part, avoir subi des pertes et des dommages du fait de cette atteinte.
Enfin – et surtout - l’assuré doit avoir déposé plainte auprès des autorités compétentes, et ce au plus tard 72 heures après avoir eu connaissance de l’atteinte.
L’article 5 prévoit les différents types d’atteintes à un système de traitement automatisé de données (ci-après « STAD »), mentionnés aux articles 323-1 à 323-3-1 du code pénal, pouvant donner lieu à une indemnisation.
Plus précisément, sont visés :
Toute personne victime de l’une de ces infractions, et répondant aux exigences posées à l’article 5, pourra bénéficier d’une couverture ayant vocation à réparer les pertes et dommages résultat de ces atteintes.
Les attaques dites par rançongiciel ou ransomware entre clairement dans cette catégorie d’infraction au même titre que les attaques de type DDOS (déni de service). Une analyse précise du contexte du sinistre devra en revanche être effectuée pour d’autres attaques spécifiques comme par exemple le cas de l’arnaque au Président.
Toute personne victime d’une cyber-attaque peut déposer plainte directement au commissariat de police ou à la gendarmerie, partout en France. Il est aussi possible de porter plainte par écrit auprès du Procureur de la République.
Par ailleurs, la LOPMI prévoit qu’il sera rendu possible, au cours de l’année 2023, de déposer une plainte en ligne – et de suivre son traitement en temps réel - sur l’application commune à la police et à la gendarmerie « Ma sécurité ».
Selon le gouvernement, l’encadrement des indemnisations des cyber-attaques répond à un objectif de meilleure information de la police et de la justice. En outre, en déposant plainte, la victime permet l’accélération de l’intervention des pouvoirs publics dans la lutte contre la cybercriminalité.
L’entrée en vigueur de ce nouvel article soulève divers enjeux.
Les assureurs doivent désormais anticiper l’entrée en vigueur de la loi, prévue au 24 avril prochain.
Avant cette date, les assureurs proposant des polices cyber sur le marché devront notamment :
Par ailleurs, les intermédiaires d’assurance devront également, au titre de leur devoir de conseil, penser à informer les assurés sur cette nouvelle obligation de dépôt de plainte.
L’entrée en vigueur de cette nouvelle obligation à compter du 24 avril 2023 est lourde de conséquences pour les assurés potentiellement victimes de cyber attaque.
Déposer plainte sous 72 heures n’est en effet pas un acte anodin, qui plus est lorsque l’attaque en question est également à l’origine d’une violation de données à caractère personnel au sens de l’article 33 du RGPD. En pleine crise, l’assuré doit en effet réunir les éléments factuels nécessaires à la fois au dépôt de plainte et, le cas échéant, à la réalisation d’une notification auprès de la CNIL. Il en résulte des risques de contradictions éventuelles, d’affirmations erronées faute pour l’assuré d’avoir suffisamment de temps et de ressources pour disposer d’une vision claire sur l’étendue de l’attaque et ses conséquences.
Les conséquences juridiques et financières peuvent être désastreuses pour l’assuré notamment au regard du refus de couverture du sinistre par l’assurance ou encore par l’intervention d’un contrôle et d’une sanction de la CNIL.
Anticiper ces difficultés sur un plan juridique apparait donc essentiel. L’assurer pourra ainsi utilement envisager plusieurs mesures en complément des audits techniques de sécurité et des formations « classiques » des opérateurs aux enjeux de sécurité. Citons à titre d’exemples :
Ces exemples d’actions importantes peuvent être classées en trois grandes catégories dont la direction juridique pourra utilement s’emparer en coordination avec le DPO, le RSSI et la DSI :
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.