L’apparition d’un cadre juridique pour l’assurance cyber
Le 24 avril dernier est entré en vigueur le projet de « Loi d’Orientation et de Programmation du Ministère de l’Intérieur » adopté le 7 décembre 2022 par l’Assemblée.
Cette loi est consacrée à la « révolution numérique » du ministère et à la modernisation des moyens de lutte contre la cybercriminalité, aspect qui nous intéressera dans cet article.
Le principe de l’assurabilité des risques de cyberattaques
Le législateur est intervenu pour imposer le principe d’assurabilité des risques de cyberattaques qui menacent les entreprises françaises. En effet, la loi LOPMI encadre le paiement d’une cyber-rançon à travers le contrat d’assurance des victimes.
Pour commencer, de nombreuses règles ont été mises en oeuvre : la loi LOPMI prévoit une école de formation cyber au sein du ministère, le 17 Cyber, un numéro d’urgence pour signaler en direct une cyberattaque en ligne. De plus, 1 500 « cyber-patrouilleurs » vont être déployés et les entreprises et institutions devront être sensibilisés aux risques de la cybercriminalité.
Un délai de 72 heures pour porter plainte
Pour une meilleure information de la police et de la justice, les clauses de remboursement des cyber-rançons par les assurances sont encadrées. La victime doit déposer une plainte dans les 72 heures suivant la prise de conscience de l’infraction pour pouvoir bénéficier d’un remboursement de la part de l’assureur. La loi précise également que cette obligation ne s’applique qu’aux professionnels.
Les peines en cas de cyberattaques contre des réseaux informatiques, bancaires, des hôpitaux et des services de numéros d’urgence ont été renforcées. De plus, le gouvernement devra remettre deux rapports d’évaluation sur la protection des collectivités locales et des entreprises contre les cyberattaques d’ici fin 2023.
Toutes les cyberattaques sont concernées
Ainsi, deux nouvelles catégories de garanties ont été ajoutées au code des assurances « les dommages aux biens consécutifs aux atteintes aux systèmes d’information et de communications » et « les pertes pécuniaires consécutives aux mêmes atteintes ». Désormais, les assureurs devront distinguer ces deux « garanties cyber » dans l’inventaire de leurs engagements, ainsi qu’établir des reportings annuels pour ces nouvelles catégories. Les assureurs devront bien sûr en informer leurs assurés. Quoi qu’il en soit, tous les types d’attaques (virus, phishing, vol de données, ransomware…) sont concernés par ces garanties.
Un triple intérêt pour les acteurs de la lutte contre la cybercriminalité
Une possibilité d’indemnisation plus large
Le texte de loi porte sur « tout contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une cyber-attaque« . Contrairement à ce qui était prévu avant, l’indemnisation ne concerne plus uniquement les rançons mais peut concerner toutes les conséquences d’une attaque informatique (pertes d’exploitation, les coûts de remédiation et le paiement d’une rançon).
Une meilleure intervention des pouvoirs publics dans la lutte contre la cybercriminalité
L’obligation de déposer une plainte permettra aux autorités d’être informées automatiquement en cas d’infraction cyber-criminelle. Cela aidera les autorités à mieux comprendre les différentes méthodes utilisées par les cybercriminels. Jusqu’à présent, certaines entreprises ne signalaient pas les incidents aux autorités de peur de ternir leur image ou de violer leurs obligations en matière de traitement des données personnelles. Cependant, elles devront désormais le faire car leur indemnisation dépendra directement du dépôt de cette plainte.
Une collecte d’information bénéfique aux assureurs
La loi n’a pas prévu de système de partage des données acquises entre les autorités judiciaires et les assureurs, mais le Rapport du Trésor parle d’un système de partage anonyme via l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) pour une meilleure compréhension de la menace cyber.
À terme, l’objectif est que les entreprises soient plus ouvertes à partager avec leurs assureurs les informations relatives aux incidents qu’elles subissent. Enfin, les obligations de reporting obligatoires pour les assureurs pourront également favoriser une meilleure circulation des données et ainsi prévenir les futures attaques.
Finalement, la collecte de ces données permettra aux assureurs d’offrir des garanties plus appropriées et attrayantes. En outre, tous les assureurs sont maintenant obligés d’indemniser les rançons (à condition qu’une plainte ait été déposée à temps), ce qui évite la concurrence déséquilibrée qui existait avant la loi LOPMI entre les assureurs qui proposaient cette garantie et ceux qui ne la proposaient pas.
Une disposition en lien direct avec le RGPD
Cette nouvelle disposition est un également un pic de rappel du Règlement Général sur la Protection des Données (RGPD) qui oblige tout responsable de traitement (l’assuré dans le cadre de son activité, notamment lorsqu’il manipule les données de clients) à notifier une violation de données personnelles à la CNIL dans un délai de 72 heures à moins que cette violation ne constitue pas un risque pour les droits et libertés des personnes en l’espèce.
La notification obligatoire prévue par le RGPD constituait un premier pas pour la collecte d’informations sur les cyberattaques, mais n’avait cependant pas pour but de mettre en place une base de données complète. Ainsi, cela ne permettait pas aux assureurs d’enrichir leurs garanties cyber mais, désormais, grâce au dépôt de plainte imposé par la loi LOPMI, les données récupérées pourront être une riche source d’information pour les assureurs.
Il faut également noter qu’en cas de cyber-attaque, la violation de données personnelles peut induire un contrôle de la CNIL, pour non-respect des règles de sécurité et de confidentialité imposées par le RGPD. Il est donc très important de déposer plainte pour se protéger et ne pas subir double peine.
Conclusion :
Les entreprises ont besoin des assureurs comme partenaires essentiels pour prévenir et lutter contre les cyberattaques. La mise en place de la loi LOPMI est une avancée importante pour les acteurs impliqués dans cette lutte, bien qu’elle ne soit qu’un début.
Pour prévenir les cyberattaques, assurez-vous d’avoir un écosystème suffisamment sécurisé. Avec NowTeam, réalisez un audit de votre cybersécurité avec le Smart Audit Sécurité. Nos experts informatiques peuvent vous aider à prévenir ce type d’incidents, contactez-nous dès aujourd’hui sur notre site ou par téléphone au 09 73 87 25 16.