L’assurance des risques de cyberattaques

Le nombre de cyberattaques avérées identifié par l’ANSSI a baissé en 2022, mais la gravité des incidents a augmenté et la menace « reste élevée » selon l’ANSSI.

L’Agence nationale de la sécurité des systèmes d’information note que le risque se déporte vers les cibles les moins protégées.

Ce phénomène concerne tous les secteurs qui malgré une prise de conscience à marche forcée, sous-estiment encore l’impact d’une cyberattaque sur leur activité. L’ampleur de ce phénomène met à l’épreuve la résilience des structures économiques. C’est pourquoi le marché de l’assurance du risque cyber est apparu comme une réponse adaptée pour renforcer les capacités de résister aux attaques cyber.

L’assurance des risques que les personnes morales et les personnes physiques, dans le cadre de leurs activités professionnelles, sont susceptibles de subir est en conséquence devenu une priorité pour un nombre conséquent d’acteurs.

Cyberattaques et code des assurances

L’article 5 de la loi d’orientation et de programmation du ministère de l’Intérieur (LOMPI) promulguée le 24 janvier 2023 a ainsi inséré un nouveau chapitre X, intitulé « L’assurance des risques de cyberattaques » dans le code des assurances.

Ce chapitre est composé d’un article unique, l’article L. 12-10-1, qui dispose :

« Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime.
Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. »

Ainsi, à la condition de déposer une plainte dans les soixante-douze heures à compter de la prise de connaissance de l’attaque, délai qui n’est pas sans rappeler les dispositions de l’article 33 du RGPD, les pertes et dommages causés par une atteinte à un système de traitement automatisé de données peuvent désormais faire l’objet d’un versement au titre d’une police d’assurance.

Ce texte a vocation à entrer en vigueur trois mois après la promulgation de la loi, soit le 24 avril 2023.

Une sphère de protection élargie

Initialement, la première version du texte ciblait les modalités de remboursement liées aux cyber rançons. Elles visaient ainsi principalement les attaques par ransomware, qui consiste, selon la définition élaborée par l’ANSSI : « en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement ».

Les débats parlementaires ont permis de modifier l’article afin de prendre en compte « l’ensemble des pertes et dommages causés par une atteinte à un système de traitement automatisé de données ».

Rapports d’évaluation des politiques publiques en matière de cybersécurité

L’article 29 de la LOMPI prévoit la remise par le Gouvernement au Parlement de « deux rapports d’évaluation des politiques publiques en matière de cybersécurité ».

Le premier rapport, comprenant des recommandations validées par l’Anssi, portera sur « la protection des collectivités territoriales et leur vulnérabilité aux intrusions numériques ».

Le second rapport, qui aura pour objet d’évaluer «  la protection des entreprises », examinera spécifiquement « la possibilité de subordonner le remboursement d’une assurance contre les risques de cyberattaques au recours par la victime à un prestataire informatique labellisé ». Il comportera un avis et des préconisations de l’ANSSI et du GIP Acyma « sur les exigences minimales de l’éventuelle labellisation des prestataires ».

Une extension future des conditions pour la prise en charge des pertes et dommages causés par les cyberattaques parait donc probable. Le recours aux solutions et prestataires spécialisés permet d’anticiper ce risque. Ces derniers peuvent éventuellement disposer d’une qualification délivrée par l’Anssi.

Virginie Bensoussan-Brulé,
Raphaël Liotier
Alexandre Turchi
Lexing Contentieux numérique