Cyber-assurance : l'obligation de porter plainte sous 72 heures … – La Tribune.fr

Partager :
Bouleversement dans la cyber-assurance. Mercredi, les députés ont validé par 365 voix contre 102 le projet de loi d’orientation et de programmation du ministère de l’Intérieur (Lopmi). A moins d’un improbable retournement de situation, le texte sera définitivement adopté à l’issue du vote des sénateurs, le 14 décembre.
Parmi les détails les plus discutés du projet, l‘article 4 anime depuis plusieurs mois un débat houleux parmi les acteurs de la cybersécurité. La raison ? Il a pour finalité de modifier le code des assurances, afin de subordonner le remboursement des pertes et dommages causés par une cyberattaque au dépôt d’une plainte par la victime, dans les 72 heures après sa découverte de l’incident.
En passe d’être votée, cette nouvelle contrainte pour les victimes de cyberattaques devrait arriver très rapidement : le projet de loi précise qu’elle entrera en vigueur trois mois après la promulgation, c’est-à-dire vraisemblablement entre les mois de mars et d’avril 2023.
Lire aussiIndemnisation des cyber-rançons : les assureurs ravis, les experts cyber furieux

Interprétée comme une victoire du lobby des assurances, la loi fait grincer les dents de certains. « L’intention est bonne, mais pas la manière », s’agace auprès de La Tribune Olivier Belondrade, vice-président du Cercle Montesquieu, une association de directeurs et directrices juridiques d’entreprise. « Quand on est victime de cyberattaque, surtout quand on est une petite entreprise, le dépôt de plainte ne fait pas partie des priorités. On pense d’abord à la communication avec les actionnaires, avec les salariés, avec les clients… », liste-t-il.
En effet, le dépôt de plainte est souvent oublié dans la réponse à incident. La gendarmerie précisait à La Tribune en début d’année que les forces de l’ordre ne recevaient qu’un dépôt de plainte toutes les 267 cyberattaques par rançongiciel réussies, alors même qu’elles peuvent apporter un soutien non-négligeable dans la réponse à incident. Mais surtout, elles ont besoin des plaintes pour récupérer le plus de données possible afin de remonter aux cybercriminels et espérer arrêter. C’est d’ailleurs une des raisons qui a motivé l’article 14 de la loi.
Mais Olivier Belondrade ne s’inquiète pas tant du dépôt de plainte que du délai qui y est attaché : « Sanctionner le non-respect du délai de dépôt de plainte par une déchéance est extrêmement sévère. C’est la seule situation en droit des assurances où c’est le cas. Même pour le vol, où une plainte est nécessaire, il n’y a pas de clause de déchéance aussi rapide. Résultat, pour une question de procédure, certaines entreprises et notamment les plus petites pourraient perdre leur couverture car elles ne penseraient pas à la plainte. » Lors d’une cyberattaque, les entreprises font généralement appel à des prestataires extérieurs pour les accompagner à la fois dans la communication de crise (auprès des clients, des partenaires, en interne…) et sur le volet informatique. Les assurances travaillent donc avec des sociétés qu’elles envoient chez leurs clients en cas de sinistre, le plus rapidement possible.
Autrement dit, des frais (de plusieurs dizaines à plusieurs centaines de milliers d’euros) sont rapidement engagés. Avec la nouvelle loi, si la victime oublie de porter plainte sous 72 heures, elle devra en théorie les prendre elle-même à charge, même si elle payait des cotisations. Seule petite victoire pour les victimes : le délai pour déposer plainte était de 48 heures dans le projet de loi initial, mais il a été augmenté de 24 heures suite à l’accord trouvé en commission mixte paritaire. Il s’aligne désormais avec le délai légal de déclaration des violations de données à la Cnil [l’autorité française des données, ndlr] intégré au règlement général sur la protection des données (RGPD).
Si les discussions se sont concentrées sur le cas particulier des remboursements en cas de paiement des rançongiciels –une mesure déconseillée par les experts, mais en pratique utilisée dans l’espoir de réparer une partie des dégâts causés par l’attaque-, la loi vise en réalité un ensemble de cas de figure plus large. « Les mots rançon et rançongiciel n’ont pas été mis dans le terme de la loi, et ce n’est pas un hasard : la loi va autoriser la prise en charge au-delà du seul remboursement des rançons, en permettant le remboursement de l’ensemble des conséquences pécuniaires des cyberattaques. Certains brandissent l’argument que cette loi inciterait les criminels à passer à l’acte. Mais la réalité, c’est que les entreprises ont besoin de s’assurer », estiment les avocats de Jeantet Xavier Pernot, Pierre Linais, Fréderic Sardain et Olivier Lyon-Lynch, rencontrés par La Tribune.
Aujourd’hui, le risque cyber est déjà couvert par les assurances, mais en dehors des très grandes entreprises, peu d’organisations ont les moyens de souscrire. Le problème, c’est que les sinistres (notamment en cas de rançongiciel) peuvent être très élevés, et dépasser le million d’euros. Intégrer les PME à la masse d’assurer leur permettrait de lisser le risque, et d’éviter des effets de pic. « Cette loi apporte un changement de la prise en compte du risque cyber, qui devient uniforme à un niveau national. Or, on sait que les assureurs ont besoin de volume pour tenir un modèle viable économiquement », ajoutent les avocats de Jeantet. « C’est aussi une avancée pour les assuréspuisqu’on évite ainsi une distorsion de la concurrence entre les victimes assurées selon qu’elles se trouvent ou non dans un pays qui autorise l’assurabilité d’une rançon. »
Derrière le débat du délai de dépôt de plainte, certaines entreprises craignent qu’il renforce l’ambiguïté existante sur le statut des cibles de cyberattaque réussie. En effet, elles se retrouvent à la fois dans une position de victime, mais elles peuvent être aussi jugées responsables d’avoir insuffisamment protégé les données de ses clients et de ses partenaires, ce qui peut mener à des amendes administratives. Cette ambiguïté explique en partie la réticence des entreprises à porter plainte : cacher au mieux l’incident paraît pour certaines une meilleure solution pragmatique.
Pour Olivier Belondrade et les directeurs juridiques dont il relaie les opinions, la loi profite aux compagnies d’assurances -puisqu’elle consolide le cadre du marché de la cyber- mais aussi aux éditeurs et logiciels et aux pourvoyeurs de services de réponse à incidents, qui vont développer de nouveaux produits pour accompagner la mise à niveau des entreprises. Mais les potentielles victimes, elles, ne font que subir un cadre de plus en plus serré.
« Les personnes qui ont le plus de pouvoir dans l’amélioration de notre résistance face aux cyberattaques, les éditeurs, ne sont jamais désignés responsables. On pourrait par exemple avoir un cyberscore, non pas seulement pour les entreprises, mais aussi pour les produits de cybersécurité, afin de pousser à afficher plus de transparence. Mais à la place, on fait porter le poids de cette responsabilité sur la victime », regrette-t-il, avant de conclure, « s‘il est décidé que l’assurance cyber est fondamentale, alors il faudrait réfléchir à la rendre obligatoire comme l’assurance civile pour louer un appartement ou comme les assurances automobiles. »
Partager :
Du lundi au vendredi, à 13h, recevez l’essentiel de l’actualité de la
tech et des médias
Dernière étape : confirmez votre inscription dans l’email que vous venez de recevoir.
Pensez à vérifier vos courriers indésirables.
À très bientôt sur le site de La Tribune et dans nos newsletters,
La rédaction de La Tribune.
À très bientôt sur le site de La Tribune et dans nos newsletters,
La rédaction de La Tribune.
Découvrez l’ensemble des newsletters de La Tribune
La rédaction de La Tribune
Un e-mail contenant vos informations de connexion a été envoyé.
À très bientôt sur le site de La Tribune et dans nos newsletters,
La rédaction de La Tribune.
S’inscrire à la newsletter Tech & Médias
Sujets les + lus
|
Sujets les + commentés
1
Poutine promet d'étendre les capacités militaires la Russie en 2023
2
Shanghai Automotive crée le plus grand groupe chinois automobile
3
À quoi sert l’État actionnaire ?
4
Inflationniste rime avec simpliste
5
GéoLean attend une nouvelle dynamique de son « Doing Center»
1
revue T Retraites : la pire des réformes à l’exception de toutes les autres (34)
2
Mobilisation contre la réforme des retraites : la CGT réfléchit à retarder les travaux sur des stockages de gaz (27)
3
Retraites: les syndicats comptent sur une forte mobilisation le 19 janvier (27)
4
Mobilisation contre la réforme des retraites : la CGT rêve de refaire 1995 ! (26)
5
revue T Retraites : la réforme pourrait rapporter 18 milliards d'euros d'ici à 2030, le gouvernement fait l'impasse sur les surcoûts (22)
Pour être alerté par email d’une réaction à ce commentaire, merci de renseigner votre adresse email ci-dessous :
Pour être alerté par email d’une réaction à ce commentaire, merci de renseigner votre adresse email ci-dessous :
Pour être alerté par email d’une réaction à ce commentaire, merci de renseigner votre adresse email ci-dessous :
Pour être alerté par email d’une réaction à ce commentaire, merci de renseigner votre adresse email ci-dessous :
Pour être alerté par email d’une réaction à ce commentaire, merci de renseigner votre adresse email ci-dessous :
Pour être alerté par email d’une réaction à ce commentaire, merci de renseigner votre adresse email ci-dessous :
Pour être alerté par email d’une réaction à ce commentaire, merci de renseigner votre adresse email ci-dessous :
Pour être alerté par email d’une réaction à ce commentaire, merci de renseigner votre adresse email ci-dessous :
Pour être alerté par email d’une réaction à ce commentaire, merci de renseigner votre adresse email ci-dessous :
Pour être alerté par email d’une réaction à ce commentaire, merci de renseigner votre adresse email ci-dessous :
Pour être alerté par email d’une réaction à ce commentaire, merci de renseigner votre adresse email ci-dessous :
Pour être alerté par email d’une réaction à ce commentaire, merci de renseigner votre adresse email ci-dessous :
Pour être alerté par email d’une réaction à ce commentaire, merci de renseigner votre adresse email ci-dessous :
Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.
Avec
La Tribune.fr,
prenez les bonnes décisions

source

A propos de l'auteur

Backlink pro

Ajouter un commentaire

Backlink pro

Prenez contact avec nous

Les backlinks sont des liens d'autres sites web vers votre site web. Ils aident les internautes à trouver votre site et leur permettent de trouver plus facilement les informations qu'ils recherchent. Plus votre site Web possède de liens retour, plus les internautes sont susceptibles de le visiter.

Contact

Map for 12 rue lakanal 75015 PARIS FRANCE