L’apparition d’un cadre juridique pour l’assurance cyber
Le 24 avril 2023 est entré en vigueur le projet de « Loi d’Orientation et de Programmation du Ministère de l’Intérieur » adopté le 7 décembre 2022 par l’Assemblée Nationale.
Cette loi est consacrée à la « révolution numérique » du ministère et à la modernisation des moyens de lutte contre la cybercriminalité. Ce second point est destiné aux organisations, entreprises, associations susceptibles d’être concernées par la cybermalveillance.
Le principe de l’assurabilité des risques de cyberattaques
Le législateur est intervenu pour imposer le principe d’assurabilité des risques de cyberattaques qui menacent les entreprises françaises. En effet, la loi LOPMI encadre le paiement d’une cyber-rançon à travers le contrat d’assurance des victimes.
Pour commencer, de nombreuses règles ont été mises en œuvre. La loi LOPMI prévoit :
- une école de formation cyber au sein du ministère,
- le 17 Cyber, un numéro d’urgence pour signaler en direct une cyberattaque en ligne,
- 1 500 « cyber-patrouilleurs » déployés
- L’obligation pour les entreprises et les institutions d’une sensibilisation aux risques de la cybercriminalité.
Un délai de 72 heures pour porter plainte pour cyberattaque
Pour une meilleure information de la police et de la justice, les clauses de remboursement des cyber-rançons par les assurances sont encadrées. La victime doit déposer une plainte dans les 72 heures suivant la prise de conscience de l’infraction pour pouvoir bénéficier d’un remboursement de la part de l’assureur. La loi précise également que cette obligation ne s’applique qu’aux professionnels.
Les peines en cas de cyberattaques contre des réseaux informatiques, bancaires, des hôpitaux et des services de numéros d’urgence ont été renforcées.
Toutes les cyberattaques sont concernées
Ainsi, deux nouvelles catégories de garanties ont été ajoutées au code des assurances « les dommages aux biens consécutifs aux atteintes aux systèmes d’information et de communications » et « les pertes pécuniaires consécutives aux mêmes atteintes ».
Désormais, les assureurs devront distinguer ces deux « garanties cyber » dans l’inventaire de leurs engagements, ainsi qu’établir des reportings annuels pour ces nouvelles catégories. Les assureurs devront bien sûr en informer leurs assurés. Quoi qu’il en soit, tous les types d’attaques (virus, phishing, vol de données, ransomware…) sont concernés par ces garanties.
Un triple intérêt pour les acteurs de la lutte contre les cyberattaques
Une possibilité d’indemnisation des cyberattaques plus large
Le texte de loi porte sur “tout contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une cyber-attaque ». Contrairement à ce qui était prévu avant, l’indemnisation s’étend au-delà du seul remboursement des rançons pour inclure l’ensemble des impacts d’une attaque informatique, y compris les pertes d’exploitation, les frais de remise en état et les paiements de rançons.
Une meilleure intervention des pouvoirs publics dans la lutte contre les cyberattaques
L’obligation de signaler officiellement toute cyberattaque garantit que les autorités seront systématiquement alertées en cas de cyberattaque. Cette mesure permettra une meilleure compréhension des tactiques employées par les cybercriminels par les forces de l’ordre.
Auparavant, certaines entreprises hésitaient à informer les autorités sur ces incidents, craignant d’écorner leur image ou de transgresser les règlements relatifs à la gestion des données personnelles. Toutefois, elles sont à présent contraintes à cette démarche, leur compensation financière étant directement liée à la formalisation de leur plainte.
Pour répondre au contrat d’assurance proposés par les assureurs, il faut prouver la mise en œuvre d’un plan de sécurité du système d’information (PSSI) et d’autres mesures de sécurité. Les consultants de NowCyberDéfense vous aident pour répondre au cahier des charges de votre assureur.
Une collecte d’information bénéfique aux assureurs et pour la prévention des cyberattaques
Bien que la législation n’ait pas institué de protocole officiel pour le transfert des données entre les institutions judiciaires et les compagnies d’assurance, le Rapport du Trésor évoque l’élaboration d’un mécanisme de partage anonymisé par le biais de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), dans le but d’approfondir la compréhension des risques cyber.
L’ambition est d’encourager les entreprises à partager aux assureurs les détails des incidents de sécurité qu’elles rencontrent. Par ailleurs, l’exigence légale pour les assureurs de documenter ces incidents devrait améliorer le partage d’informations, contribuant ainsi à la prévention des attaques futures.
Finalement, l’enregistrement de ces informations équipera les assureurs pour proposer des couvertures plus ciblées et plus attractives. De plus, la loi rend obligatoire pour tous les assureurs la couverture des rançons, à condition que la plainte ait été déposée dans les délais requis (72h), éliminant ainsi les disparités préexistantes entre assureurs offrant ou non cette protection.
Une disposition en lien direct avec le RGPD
Cette loi renforce également l’importance du Règlement Général sur la Protection des Données (RGPD), exigeant de chaque gestionnaire de données (notamment l’assuré dans son activité professionnelle, lors de la manipulation de données clients) la notification à la CNIL de toute fuite de données personnelles sous 72 heures, sauf si ladite fuite ne présente aucun risque pour les droits et libertés individuels.
Initialement, l’obligation de notifier instaurée par le RGPD servait de premier pas dans la récolte d’informations sur les cyberattaques sans pour autant viser à créer un répertoire exhaustif de données. Cela limitait la capacité des assureurs à affiner leurs offres de protection cyber. Cependant, avec l’introduction de l’obligation de dépôt de plainte par la loi LOPMI, les informations collectées promettent d’être une mine d’or pour les assureurs.
De surcroît, suite à une cyberattaque, toute violation de données personnelles peut déclencher une enquête de la CNIL en cas de manquement aux normes de sécurité et de confidentialité stipulées par le RGPD. Déposer une plainte devient donc crucial pour éviter les sanctions et protéger sa réputation.
Une avancée importante pour les entreprises et les assureurs en matière de cybersécurité
Les entreprises ont besoin des assureurs comme partenaires essentiels pour prévenir et lutter contre les cyberattaques. La mise en place de la loi LOPMI est une avancée importante pour les acteurs impliqués dans cette lutte, bien qu’elle ne soit qu’un début.
Pour prévenir les cyberattaques, assurez-vous d’avoir un écosystème suffisamment sécurisé.
