Cyberattaque : la question n’est plus qui mais quand
Auteur : Me Frédérique CECCALDI
Publié le :
27/04/2023
27
avril
avr.
04
2023
Le 24 avril dernier est entré en vigueur le nouveau chapitre du Code des Assurances afférant au risque de cyberattaque créé par l’article 5 de la loi n° 2023-22 dite LOPMI.
Le Code des Assurances prévoit désormais en son article L 12-10-1 que « le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3 -1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime. Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle ».
Ce texte est une bonne occasion d’aborder la question de la cybersécurité, les spécialistes soulignant que la question n’est plus de savoir si une entreprise va être victime ou non d’une cyberattaque mais quand.
En 2021, plus d’une entreprise française sur deux aurait subi une cyberattaque notamment par rançongiciel, hameçonnage, déni de service ou faux ordres de virement international.
Selon l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), la menace cybercriminelle et, plus spécifiquement, celle liée au rançongiciel, touche particulièrement les TPE, PME et ETI (40 % des rançongiciels traitées ou rapportées à l’ANSSI en 2022), les collectivités territoriales (23 %) et les établissements publics de santé (10 %).
Or, selon l’étude d’impact du projet de loi LOPMI :
- 87 % des grandes entreprises ont souscrit une assurance cyber ;
- moins de 8 % des entreprises de taille intermédiaire ont souscrit à cette assurance ;
- au total, près de 95 % des entreprises ne sont pas couvertes par de telles garanties.
Il convenait donc de favoriser l’assurabilité des risques cyber et de sensibiliser les entreprises à ces risques.
Ainsi, le dépôt de plainte préalable à l’indemnisation d’un assuré victime d’une cyberattaque poursuit un objectif d’identification et de sanction des cybercriminels.
En contrepartie de la couverture des risques, les assureurs exigeront des souscripteurs la mise en place de procédures permettant d’augmenter leur sécurité informatique.
C’est sur ce dernier point qu’il convient d’insister dès lors que l’assurance cyber ne pourra pas bénéficier à toutes les entreprises et que l’ensemble des préjudices résultant d’une attaque (mobilisation des équipes, perte d’activité opérationnelle, paiement de la rançon) ne sont pas toujours indemnisés.
Les acteurs de la cybersécurité invitent donc chaque entreprise à :
- Prévenir les attaques : l’ANSSI a publié sur son site ssi.gouv.fr des guides de bonnes pratiques à destination des entreprises et rappelle quelques « mesures simples mais essentielles » visant notamment à davantage sécuriser les postes de travail et les serveurs.
De fait, la charte informatique peut être utile à la sensibilisation des équipes sur la sécurité des systèmes d’information.
- Déterminer « une feuille de route » en cas d’attaque : conservation des preuves de l’attaque, dépôt de plainte ;
- Assurer la poursuite/reprise rapide de l’activité en cas d’attaque : sauvegarde préalable et efficace des données.
Enfin, pour « briser » le modèle économique des cybercriminels, les autorités recommandent de ne pas payer la rançon.
En résumé, il faut prémunir l’entreprise contre les attaques mais la préparer à les affronter pour en minimiser les effets.
Article rédigé par Maître Frédérique CECCALDI, Avocat Associée
Historique
-
Cyberattaque : la question n’est plus qui mais quand
Publié le : 27/04/2023 27 avril avr. 04 2023Article
Le 24 avril dernier est entré en vigueur le nouveau chapitre du Code des Assurances afférant au risque de cyberattaque créé par l’article 5 de la loi n° 2023-22 dite LOPMI. L...
-
Décret du 17 mars 2023 (n°2023-185) relatif au détachement des travailleurs : bonne ou mauvaise nouvelle ?
Publié le : 13/04/2023 13 avril avr. 04 2023Article
Le décret du 17 mars 2023 (n°2023-185) apporte quelques modifications cosmétiques aux règles de contrôle du détachement. 3 ont retenu mon attention: 1°/ Simplification de... -
Les faux-semblants à l'épreuve des principes directeurs du procès civil
Publié le : 06/04/2023 06 avril avr. 04 2023Article
Depuis l’ordonnance n° 2017-1387 du 22 septembre 2017 relative à la prévisibilité et à la sécurisation des relations de travail, ayant institué le barème dit « Macron » plafonna... -
Le harcèlement moral sur tous les terrains
Publié le : 30/03/2023 30 mars mars 03 2023Article
Ceux qui plaidaient avant l’entrée en vigueur de la loi n° 2022-73 du 17 janvier 2002 ayant codifié sous le Code du travail la règlementation relative au harcèlement moral, se s... -
Si vis pacem…
Publié le : 23/03/2023 23 mars mars 03 2023Article
Un employeur a récemment été condamné (Cass.soc. 18.01.2023), dans le cadre d’un licenciement pour motif économique, pour son appréciation défaillante du critère professionnel :... -
Article de Maître Duchet - Harcèlement sexuel : panorama de décisions de cours d’appel - Lexbase
Publié le : 17/03/2023 17 mars mars 03 2023Article
Alors que la définition du harcèlement sexuel, prévu à l’article L.1153-1 du Code du travail, a été étendue à de nouvelles situations depuis le 31 mars 2022, une analyse des déc...
