La Loi LOMPI du 24 janvier 2023 autorise l'assurabilité des « cyber-rançons » versées par les victimes, sous condition de dépôt de plainte
La loi n° 2023-22 d'orientation et de programmation du ministère de l'Intérieur (dite « loi LOMPI ») vient d'être publiée au Journal officiel du 25 janvier 2023 et s’intéresse à la couverture assurantielle des pertes et dommages en cas de cyber-attaques. Elle confirme dans son principe l'assurabilité des cyber-rançons, sous réserve d’un dépôt de plainte rapide.
Le rapporteur de cette loi avait ainsi précisé qu'aucun pays de l'OCDE n'avait « pris de mesure d'interdiction du paiement des rançons, ni prohibé le principe de leur couverture assurantielle ».
Ainsi, le nouvel article L. 12-10-1 du Code des assurances dispose: « Le versement d'une somme en application de la clause d'un contrat d'assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du Code pénal est subordonné au dépôt d'une plainte de la victime auprès des autorités compétentes au plus tard 72 heures après la connaissance de l'atteinte par la victime ».
Cet article entrera en vigueur le 24 avril 2023.
Afin d'être indemnisées au titre de leur contrat d'assurance cybersécurité, les victimes auront donc 72 heures, à compter du moment où elles ont connaissance de l’atteinte à un système de traitement automatisé de données (et non à compter de la commission de celle-ci), pour déposer plainte auprès des « autorités compétentes » (le rapport annexé à la loi évoque les autorités judiciaires et policières). Cette contrainte temporelle vise à accélérer les enquêtes, faciliter l'identification des auteurs et éviter la dissipation des fonds.
Cette nouvelle disposition s'applique : (1) aux personnes morales et physiques couvertes par une assurance française, (2) dans le cadre de leur activité professionnelle. Cela concernerait ainsi 84% des grandes entreprises, 9% des ETI mais seulement 0,2% des PME.
Sur le plan matériel, la disposition s'applique à l'ensemble des sinistres résultant d'une atteinte à un système de traitement automatisé de données (« STAD ») couverts par les articles 323-1 à 323-3-1 du Code pénal, tels que :
- Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données ;
- Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données ;
- Le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient ;
- Le fait d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions précitées.
Les « cyber-rançons » exigées à la suite de cyberattaques pourront donc désormais faire l'objet d'une couverture assurantielle.
Les bénéficiaires d’un police d’assurance cyber couvrant les atteintes à leurs systèmes d’information devront intégrer le dépôt de plainte dans les 72 heures dans leur procédure de réponse aux incidents cyber pour éviter la forclusion.
