La Loi d’orientation et de programmation du ministère de l’Intérieur (Lopmi) a été adoptée le 24 janvier dernier et prévoit notamment une augmentation du budget de l’Intérieur de 15 milliards d’euros (sur les cinq prochaines années), pour investir dans le numérique.
Rappelons nous, la Direction générale du Trésor avait rendu un rapport en septembre 2022 qui proposait un plan d’action autour de 4 axes :
- Clarifier le cadre juridique de l’assurance du risque cyber.
- Favoriser une meilleure mesure du risque cyber.
- Améliorer le partage de risque entre assurés, assureurs et réassureurs
- Accroître les efforts de sensibilisation des entreprises au risque cyber.
Il résulte notamment de la loi LOPMI la création, dans le code des Assurances, d’un chapitre intitulé « L’assurance des risques de cyberattaques» et d’un article L 12-10-1 disposant que:
« Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime.
« Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. »
Si la version initiale du texte prévoyait expressément l’indemnisation des rançons, le champ d’application est finalement plus large puisque l’indemnisation vise désormais « les pertes et dommages causés par l’atteinte au système d’information » sans plus de détails.
Autre apport du texte : le délai de 72h accordé à la victime d’une cyberattaque pour déposer plainte (initialement envisagé à 48h) après la constatation de l’infraction. L’indemnisation étant en effet conditionnée au dépôt d’une plainte !