Par Haas Avocats
Avec l’accélération de la transition digitale, le risque informatique pénètre l’ensemble des secteurs : acteurs de la santé, groupes industriels, entreprises du numérique, administrations étatiques, collectivités territoriales, établissements publics.
Personne n’est épargné par ce fléau comme en atteste nombre d’actualités récentes.
Organiser sa résilience face à ce type de risque suppose notamment de faire le point sur sa couverture assurantielle. Il s’agit même d’un des éléments clés ayant vocation à être mis en œuvre dans le cadre du pilotage juridique d’une crise cyber.
Les décideurs se trouvent alors confrontés à une première difficulté : trouver une compagnie acceptant de couvrir le risque cyber dans un contexte où les assureurs ont drastiquement resserré les contraintes d’accès à de telles polices. L’organisme devra ici justifier de sa stricte conformité à la réglementation sur la protection des données, tout en attestant de la mise en place de procédures clés dédiées à la sécurité de ses systèmes d’information. L’authentification multi facteurs ou « mfa » en est un exemple.
Une seconde difficulté à prendre en compte est celle de l’éligibilité à la couverture assurantielle en cas de sinistre cyber. Ce point crucial doit également être anticipée. Il s’agit ici de vérifier les causes d’exclusion de garantie prévues au sein de la police à laquelle il a été souscrit tout en s’assurant du respect des contraintes légales et réglementaires applicables et dont la violation pourrait exclure toute couverture.
C’est précisément sur ce second point qu’intervient, l’article 5 de la Loi d’Orientation et de Programmation du ministère de l’Intérieur (ci-après « LOPMI ») fixant l’encadrement juridique des couvertures cyber.
Précisions du régime juridique de l’assurance des cyber-attaques
Publiée au Journal Officiel le 25 janvier 2023, la LOPMI introduit un nouveau chapitre au sein du code des assurances, intitulé « L’assurance des risques de cyberattaques ». Un article unique, l’article L.12-10-1 y fixe le régime juridique applicable à l’assurance des cyber-attaques.
Ce régime juridique entrera en vigueur à compter du 24 avril 2023.
Conditions pour être indemnisé en cas de cyber-attaque
Afin d’être indemnisée en cas de cyberattaque, toute personne, physique ou morale, et agissant dans le cadre de son activité professionnelle, doit répondre à un ensemble de conditions, fixé par l’article 5 de la LOPMI.
Tout d’abord, la personne doit, au préalable, avoir souscrit à un contrat d’assurance cyber risque.
En outre, l’assuré doit, d’une part, avoir été victime d’une atteinte à un système de traitement automatisé de données, et, d’autre part, avoir subi des pertes et des dommages du fait de cette atteinte.
Enfin – et surtout - l’assuré doit avoir déposé plainte auprès des autorités compétentes, et ce au plus tard 72 heures après avoir eu connaissance de l’atteinte.
Quelles cyber-attaques concernées ?
L’article 5 prévoit les différents types d’atteintes à un système de traitement automatisé de données (ci-après « STAD »), mentionnés aux articles 323-1 à 323-3-1 du code pénal, pouvant donner lieu à une indemnisation.
Plus précisément, sont visés :
- Le fait d’accéder ou de se maintenir, dans tout ou partie d’un STAD ;
- Le fait d’entraver ou de fausser le fonctionnement d’un STAD ;
- Le fait d’introduire frauduleusement des données dans un STAD, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient ;
- Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions précitées.
Toute personne victime de l’une de ces infractions, et répondant aux exigences posées à l’article 5, pourra bénéficier d’une couverture ayant vocation à réparer les pertes et dommages résultat de ces atteintes.
Les attaques dites par rançongiciel ou ransomware entre clairement dans cette catégorie d’infraction au même titre que les attaques de type DDOS (déni de service). Une analyse précise du contexte du sinistre devra en revanche être effectuée pour d’autres attaques spécifiques comme par exemple le cas de l’arnaque au Président.
Modalités pour un dépôt de plainte sous 72h
Toute personne victime d’une cyber-attaque peut déposer plainte directement au commissariat de police ou à la gendarmerie, partout en France. Il est aussi possible de porter plainte par écrit auprès du Procureur de la République.
Par ailleurs, la LOPMI prévoit qu’il sera rendu possible, au cours de l’année 2023, de déposer une plainte en ligne – et de suivre son traitement en temps réel - sur l’application commune à la police et à la gendarmerie « Ma sécurité ».
Quels enjeux pour les différents acteurs concernés ?
Selon le gouvernement, l’encadrement des indemnisations des cyber-attaques répond à un objectif de meilleure information de la police et de la justice. En outre, en déposant plainte, la victime permet l’accélération de l’intervention des pouvoirs publics dans la lutte contre la cybercriminalité.
L’entrée en vigueur de ce nouvel article soulève divers enjeux.
Du côté des assureurs et des intermédiaires d’assurance
Les assureurs doivent désormais anticiper l’entrée en vigueur de la loi, prévue au 24 avril prochain.
Avant cette date, les assureurs proposant des polices cyber sur le marché devront notamment :
- identifier, au sein de chacun de leurs contrats souscrits, les garanties qui seront susceptibles d’être concernées par l’obligation de dépôt de plainte ;
- informer leurs assurés sur cette obligation de dépôt de plainte et la sanction qui s’y rapporte.
Par ailleurs, les intermédiaires d’assurance devront également, au titre de leur devoir de conseil, penser à informer les assurés sur cette nouvelle obligation de dépôt de plainte.
Du côté des assurés
L’entrée en vigueur de cette nouvelle obligation à compter du 24 avril 2023 est lourde de conséquences pour les assurés potentiellement victimes de cyber attaque.
Déposer plainte sous 72 heures n’est en effet pas un acte anodin, qui plus est lorsque l’attaque en question est également à l’origine d’une violation de données à caractère personnel au sens de l’article 33 du RGPD. En pleine crise, l’assuré doit en effet réunir les éléments factuels nécessaires à la fois au dépôt de plainte et, le cas échéant, à la réalisation d’une notification auprès de la CNIL. Il en résulte des risques de contradictions éventuelles, d’affirmations erronées faute pour l’assuré d’avoir suffisamment de temps et de ressources pour disposer d’une vision claire sur l’étendue de l’attaque et ses conséquences.
Les conséquences juridiques et financières peuvent être désastreuses pour l’assuré notamment au regard du refus de couverture du sinistre par l’assurance ou encore par l’intervention d’un contrôle et d’une sanction de la CNIL.
Anticiper ces difficultés sur un plan juridique apparait donc essentiel. L’assurer pourra ainsi utilement envisager plusieurs mesures en complément des audits techniques de sécurité et des formations « classiques » des opérateurs aux enjeux de sécurité. Citons à titre d’exemples :
- Formaliser une procédure de gestion de crise liés aux systèmes d’information
- Disposer d’outils pratiques de communication de crise et autres éléments de langage tant au niveau interne qu’externe
- S’assurer d’un support permettant de faciliter le dépôt rapide de plaintes pénales,
- avoir consolidé ses contrats avec les prestataires clé.
- Avoir réalisé des cellules de crise cyber fictives conformément aux recommandations ANSSI.
Ces exemples d’actions importantes peuvent être classées en trois grandes catégories dont la direction juridique pourra utilement s’emparer en coordination avec le DPO, le RSSI et la DSI :
***
Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droits des nouvelles technologies et de la communication et en droit de la propriété intellectuelle, se tient à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Pour en savoir plus, rendez-vous ici.