Accueil » Assurance cyber : tout savoir sur l’obligation de dépôt de plainte

Assurance cyber : tout savoir sur l’obligation de dépôt de plainte

Publié le 12 juin 2024

En France en 2023, les attaques par rançongiciel ont progressé de près de 30 % par rapport à l’année précédente, prenant davantage pour cible les PME et ETI (34 %). Pour lutter contre les conséquences financières de ces attaques, les assurances cyber s’imposent comme une solution efficace.

Quelles sont les obligations des assurés en cas d’attaque informatique ? Voici quelques conseils pratiques pour se conformer à la réglementation en vigueur.

Que dit la loi ?

En vigueur depuis avril 2023 et issu de la LOPMI (Loi de Programmation du Ministère de l’Intérieur), l’article L.12-10-1 du Code des assurances stipule que, pour faire valoir les garanties d’assurance en cas de cyberattaque, l’entreprise assurée doit déposer une plainte pénale dans les 72 heures suivant la constatation de l’incident. Cette plainte doit concerner une infraction aux Systèmes de Traitement Automatisé de Données (STAD), telle que définie par les articles 323-1 à 323-3-1 du Code pénal. Cela inclut :

• Accès frauduleux à un STAD (article 323-1)

À titre d’exemple, nous pouvons citer le cas d’un employé licencié qui utilise ses identifiants pour accéder au système informatique de son ancienne entreprise sans autorisation, volant ainsi des informations confidentielles.

• Entrave ou altération du fonctionnement d’un STAD (article 323-2)

Il s’agit d’une attaque par déni de service (DDoS) où les serveurs d’une entreprise sont submergés par un flux massif de requêtes, les rendant inaccessibles et interrompant ainsi les opérations commerciales.

• Introduction frauduleuse de données dans un STAD (article 323-3)

C’est le cas lorsqu’un cybercriminel introduit un logiciel malveillant (malware) dans le système informatique d’une entreprise, permettant d’espionner les communications internes et de voler des informations sensibles.

• Détention et diffusion de moyens permettant de commettre ces infractions (article 323-3-1)

Accueil » Assurance cyber : tout savoir sur l’obligation de dépôt de plainte

Pourquoi est-ce important ?

Dans un contexte où les cyberattaques peuvent causer des pertes financières importantes, il est essentiel de comprendre et de respecter cette exigence légale.

En effet, la non-conformité à cette obligation peut entraîner des conséquences graves pour les entreprises. Si votre plainte est déposée en dehors du délai imparti, les garanties de la police d’assurance ne seront pas appliquées, privant ainsi l’entreprise de toute indemnisation pour les dommages subis.

Que faire en cas de cyberattaque ?

• Détection du sinistre et évaluation de l’incident

Dès qu’un incident de cybersécurité est détecté, la première étape consiste à déterminer s’il peut être qualifié d’infraction aux STAD.

Parfois, seules des investigations techniques poussées peuvent confirmer qu’une atteinte au STAD a eu lieu. Vous pourrez recourir à une équipe d’experts pour évaluer la nature de l’incident.

• Dépôt de la plainte

Où déposer plainte ? Vous pouvez déposer une plainte dans un commissariat, une gendarmerie, ou directement auprès du procureur de la République compétent.

Comment ? La plainte doit contenir une description succincte des faits, même si les détails techniques ne sont pas encore entièrement disponibles. Vous pourrez compléter la plainte ultérieurement avec les résultats d’une enquête forensique.

Dans quel délai ? Assurez-vous de respecter le délai de 72 heures à partir du moment où l’incident est connu.

• Notification à l’assureur

Informez immédiatement votre assureur de l’incident et fournissez-lui une copie de la plainte déposée. Vous garantissez ainsi le respect des conditions de votre contrat d’assurance et préparez le terrain pour une indemnisation rapide.

Accueil » Assurance cyber : tout savoir sur l’obligation de dépôt de plainte

Quelques exemples concrets

Attaque par rançongiciel : vous subissez une attaque par cryptolocker qui chiffre vos données, rendant les systèmes inaccessibles. Vous déposez plainte dans les 24 heures suivant la détection de l’attaque et informez aussitôt votre assureur. Grâce à la rapidité de la réponse, l’indemnisation est approuvée et vos activités peuvent reprendre plus rapidement.

Suspicion de compromission : vous suspectez une compromission de votre système d’information mais ne pouvez le confirmer immédiatement. Vous décidez de déposer une plainte par précaution. Plus tard, une enquête technique révèle une atteinte réelle au STAD, validant ainsi le dépôt de plainte initial et assurant la couverture par l’assurance.

Ressources utiles

Pour vous aider à mieux comprendre cette obligation et à vous préparer efficacement, téléchargez nos supports :

• Dépôt de plainte en cas de cyberattaque : un guide détaillé pour vous accompagner pas à pas dans le processus de dépôt de plainte.
• Livre blanc : une analyse approfondie des défis de la cybersécurité et des obligations légales, ainsi que des conseils pour renforcer la sécurité de votre entreprise.
• Modèle de dépôt de plainte : un modèle prérempli pour vous guider dans la rédaction de votre plainte.