Cyberattaques : une plainte devra être déposée avant d’obtenir une indemnisation de l’assureur
À l’avenir, pour qu’une entreprise victime d’une cyberattaque puisse obtenir réparation par son assureur, elle devra déposer une plainte 72 heures au plus tard après avoir eu connaissance de l’atteinte à son système informatique.
Faire face à l’augmentation des attaques informatiques
Assurance contre les risques de cyberattaques. Les piratages ou toutes autres actions malveillantes sur les supports numériques peuvent fortement affecter la poursuite de l’activité des entreprises. Celles-ci sont donc de plus en plus incitées par les pouvoirs publics à souscrire une assurance visant à indemniser les dommages causés par ces attaques informatiques.
À ce titre, la loi d’orientation et de programmation du ministère de l’Intérieur du 24 janvier 2023 consacre un premier cadre légal relatif aux contrats d’assurance contre les risques de cyberattaques.
Dépôt de plainte dans les 72 heures. – Les nouvelles dispositions prévoient que pour obtenir une réparation de son assureur, l’entreprise victime d’une cyberattaque devra d’abord déposée une plainte auprès des autorités compétentes, et ce, dans les 72 heures après avoir eu connaissance d’une intrusion sur ses services ou outils informatiques.
Cette mesure prendra effet 3 mois après la promulgation de la loi du 24 janvier 2023 (loi 2023-22 du 24 janvier 2023, art. 5-II).
À noter. Cette procédure s’appliquera uniquement aux sociétés et aux personnes physiques dans le cadre de leur activité professionnelle.
Sanctionner plus sévèrement les hackers
Depuis le 26 janvier 2023, les sanctions applicables aux auteurs des attaques informatiques sont renforcées (c. pén. art. 323-1 modifié). Notons que :
-en cas d’accès frauduleux à un système de traitement automatisé de données, l’amende est portée à 100 0000 € (au lieu de 60 000 €) et l’emprisonnement encouru est de 3 ans (au lieu de 2 ans) ;
-en cas de suppression, de modification de données contenues dans le système ou en cas d’une altération du fonctionnement de ce système, l’amende est portée à 150 0000 € (au lieu de 100 000 €) et l’emprisonnement encouru est de 5 ans (au lieu de 3 ans) ;
-et enfin, lorsque ces deux infractions ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, l’amende est portée à 300 000 € (au lieu de 150 000 €) et l’emprisonnement encouru est de 7 ans (au lieu de 5 ans).
Loi 2023-22 du 24 janvier 2023, JO du 25, art. 5 et 6