Prévention
Publié le 26 avril 2023 – Direction de l’information légale et administrative (Première ministre)
Depuis le 24 avril 2023, tout particulier ou professionnel victime d’une atteinte (pertes ou dommages) causée par une cyberattaque dans le cadre de son activité professionnelle devra porter plainte dans un délai de 72 heures pour pouvoir être indemnisé par son assureur.
Dans le cadre de la loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur (LOPMI), l’indemnisation d’une cyberattaque est désormais subordonnée au dépôt d’une plainte dans les 72 heures suivants la connaissance de cette atteinte.
Champ d’application de cette mesure
Cette disposition ne concerne que les cyberattaques survenues dans le cadre de l’activité professionnelle.
Elle s’applique aux personnes physiques ainsi qu’aux personnes morales. Les entreprises, les travailleurs indépendants et les entrepreneurs individuels sont donc soumis à cette obligation de déposer plainte.
À noter
Cette nouvelle disposition s’applique immédiatement à tous les contrats d’assurance en cours compte tenu de ses objectifs de lutte contre la cybercriminalité.
Un délai de 72 heures pour déposer plainte
La personne physique ou morale victime d’une cyberattaque dans le cadre de son activité professionnelle a un délai de 72 heures pour porter plainte si elle souhaite être indemnisée par son assureur.
Ce délai débute à partir de la connaissance de l’atteinte par la victime. En d’autres termes, lorsque la victime constate les effets de la cyberattaque.
Le délai doit être obligatoirement respecté même si l’assuré a soucrit à un contrat d’assurance couvrant contre le risque d’une cyberattaque.
Attention
La condition du dépôt de plainte dans les 72 heures impartis n’est toutefois pas suffisante pour être indemnisé. L’indemnisation dépend également de la couverture prévue par le contrat d’assurance souscrit. Il est conseillé de se rapprocher de son assureur dans les plus brefs délais en cas d’attaque.
Les cas de cyberattaque visés
L’ensemble des cyberattaques sont concernées par cette nouvelle mesure.
Sont notamment visées :
- les attaques par logiciels malveillants (dont les rançongiciels) ;
- les hameçonnages (tentative de récupération d’informations confidentielles en se faisant passer pour une entité connue) ;
- les vols de données ;
- le défaçage d’un système (modification non sollicitée d’un site internet) ;
- les vols de données ;
- les attaques par déni de service (visant à rendre indisponible un service) ;
- les interceptions de communication.
Que faire en cas de cyberattaque subie à l’étranger ?
Tout d’abord, lorsque le contrat d’assurance n’est pas soumis au code des assurances français, l’obligation de dépôt de plainte dans les 72 heures ne s’applique pas.
Par contre, dans le cas où l’entreprise victime est basée en France, assurée par un contrat régi par le code des assurances français et a subi une cyberattaque hors du territoire national, elle peut :
- déposer plainte en France, en respectant le délai de 72 heures fixé par la loi ;
- déposer plainte dans le pays où la cyberattaque a eu lieu, à condition que la cyberattaque en question constitue également une infraction dans ce pays. Dans ce cas, le dépôt de plainte auprès des autorités compétentes de ce pays dans les 72 heures à compter de la connaissance de l’atteinte permet de remplir les obligations de dépôt de plainte.
Cet article provient du site Service-public.fr