Assurance Cyber : déposer plainte sous 72h devient obligatoire

Loi LOPMI _ Cyber Assurance _ Hiscox France

Ce qui change avec la loi LOPMI

Pour lutter plus efficacement contre la cybercriminalité, les autorités françaises ont besoin d’avoir une visibilité sur les atteintes aux intérêts de la France via l’étendue des cyber attaques subies par les professionnels et entreprises.

C’est pourquoi le Ministère de l’Intérieur a décidé de rendre obligatoire le dépôt de plainte en cas d’attaque cyber.

Concrètement, tout professionnel ou entreprise qui subit une attaque doit déposer plainte dans un délai de 72h maximum, à compter du moment où il a eu connaissance de l’incident.

Cette étape est obligatoire pour permettre une éventuelle indemnisation au titre d’un contrat d’assurance Cyber en vigueur.

Si la plainte n’est pas déposée dans ce délai, le professionnel ou l’entreprise ne pourra pas être indemnisé par son assureur.

Cette disposition d’ordre publique entre en vigueur le 24 avril 2023 et s’applique à tous les contrats d’assurance en cours, quand bien même cette obligation ne figure pas dans les contrats.

Très important : les garanties d’assistance peuvent être mobilisées sans attendre de déposer la plainte pour aider à identifier la faille de sécurité et les données personnelles ou les données confidentielles compromises, préconiser les 1ères  solutions pour limiter les conséquences de l’attaque et constituer un dossier de recours. Le dépôt de plainte reste obligatoire sous 72h quoi qu’il en soit.

Qui est concerné ?

  • Toutes personnes morales (entreprises, associations, administrations publiques)
  • Toutes personnes physiques (professions libérales, travailleurs indépendants, etc.)

Qui subissent une cyber attaque dans le cadre de leurs activités professionnelles.

Le professionnel ou l’entreprise doit être immatriculé en France et être assuré par un contrat d’assurance français.

Les particuliers subissant une attaque à titre personnelle ne sont donc pas concernés par l’obligation. Néanmoins, le dépôt de plainte est recommandé pour permettre l’identification de suspects et favoriser la reconnaissance du préjudice subi par la victime.

Quels sont les types d’attaque visés par la loi ?

Toutes les cyber-attaques sont concernées, en particulier celles utilisant les techniques suivantes :

  • Attaques par logiciels malveillants dont les ransomwares ;
  • Vols de données ;
  • Attaques par déni de service ;
  • Hameçonnages (phishing) ;
  • Modification non-sollicitée d’un site Internet ;
  • Interceptions de communication (ex. un réseau wifi public) ;
  • Exploitation de vulnérabilité jusqu'alors non-corrigée présente dans un logiciel ;

Comment réagir en cas de cyber-attaque ?

  • Éteindre les unités et les accès réseaux et déconnecter les sauvegardes
  • Communiquer les consignes aux collaborateurs
  • Contacter immédiatement l’assistance Hiscox pour limiter au plus vite les conséquences de l’incident en appelant le numéro, joignable 24/24 et 7/7, indiqué dans les Conditions Particulières du contrat souscrit avec Hiscox.
  • Alerter les forces de l’ordre sans attendre : appeler le 17 ou via l’application « MaSécurité »

Attention, cette alerte ne dispense pas du dépôt de plainte qui reste obligatoire.

  • Préparer sa plainte pour documenter tout élément utile à l’enquête :

    Préserver toutes les traces visibles de l’attaque (photos, captures d’écran, etc.

    Lister toutes les actions entreprises par ordre chronologique.

    Apporter ou tenir à disposition un maximum de preuves (fichiers, photos, images, vidéos, clés USB, CD/DVD, disque dur, etc.)

L’assuré pourra compter sur l’Assistance Hiscox pour être accompagné dans ses démarches si besoin.

  • Lancer le plan de gestion de crise, notamment les process de continuité de l’activité prévus dans le PCA
  • Déclarer son sinistre  par courrier : Hiscox France, Service Sinistres Cyber – 12 quai des Queyries, Immeuble Millenium, 33100 Bordeaux ou par email : [email protected]

L’assuré pourra compter sur les experts en sécurité informatique mobilisés par Hiscox au titre des garanties d’assistance pour collecter un maximum de preuves.

  • Porter plainte dans une brigade de gendarmerie ou un commissariat dans un délai de 72h maximum à compter de la prise de connaissance de l’incident 

Et si l'entreprise est victime d'une cyber attaque à l'étranger ?

2 options si l’entreprise, immatriculée en France et assurée par contrat d’assurance français, est victime d’une cyber-attaque à l’étranger :

  • Déposer plainte en France sous 72h maximum
  • Ou déposer plainte dans le pays d’implantation sous 72h maximum. L’obligation de dépôt de plainte sera respectée à condition que la cyberattaque concernée constitue également une infraction dans ce pays.
  • Notifier à la CNIL en cas de violation de données à caractère personnel (article 33 du RGPD), dans un délai maximal de 72h également, via le site dédié de la CNIL, accessible ici.

Important : Le respect de l’obligation de dépôt de plainte sous 72h n’est pas une condition suffisante pour être indemnisé par l’assureur. Cela dépendra des conditions et garanties prévues au contrat.

Les équipes d’Hiscox sont mobilisées pour répondre à toutes vos questions afin d’accompagner au mieux les assurés dans l’appropriation de cette nouvelle obligation.

 

*Loi 2023-22 du 24 janvier 2023 d’orientation et de programmation du Ministère de l’Intérieur, dite LOPMI, transposée dans le Code des Assurances à l’article L. 12-10-01. 

Les informations données dans cet article sont données à titre strictement informatif et n’ont pas valeur contractuelle.

Image : © Pixabay (pexels.com)

Vous souhaitez nous contacter ?

Contactez l'accueil

Par téléphone : 01 53 21 82 82

Par email : [email protected]

Service MyHiscox

Par téléphone : 05 56 67 71 73

Par email : [email protected]

Espace MyHiscox