Cyberattaque sur une entreprise : l’indemnisation conditionnée au dépôt de plainte

À partir du 25 avril, une entreprise victime d’une cyberattaque devra porter plainte dans les 72h pour pouvoir prétendre à une indemnisation de la part de son assureur. C’est en tout cas ce que précise la loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’Intérieur.

Une entreprise sur deux victime d’une cyberattaque

En 2022, près d’une entreprise française sur deux a été victime d’une cyberattaque, selon le Baromètre du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique).

Dans son rapport annuel d’activité, le GIP ACYMA (Groupement d’Intérêt Public Action contre la Cybermalveillance) constate une augmentation des demandes d’assistance en ligne. En effet, plus de 173 000 demandes ont été déposées en 2021 sur la plateforme cybermalveillance.gouv.fr, soit une hausse de 65 % par rapport à l’année précédente.

Ces demandes d'assistance en ligne portent essentiellement sur :

  • l’hameçonnage (31 %),
  • le piratage de compte (19 %),
  • les faux supports techniques (13 %).

Pour les professionnels, les rançongiciels représentaient 22 % des attaques.

Les cyberattaques touchent les entreprises de toutes tailles et ont souvent des conséquences désastreuses :

  • paralysie des systèmes,
  • vol ou perte de données sensibles,
  • création de brèches dans un système de sécurité,
  • exposition à un chantage,
  • atteinte à la réputation,
  • préjudice commercial...

Pour faire face à ces risques, de plus en plus d’entreprises contractent une assurance cyber.

Le dépôt de plainte nécessaire pour être indemnisé

L’article 5 de la loi d’orientation et de programmation du ministère de l’Intérieur fait évoluer le cadre de l’assurance cyber. Il prévoit qu’à compter du 25 avril 2023, les entreprises souhaitant bénéficier d’une indemnisation suite à une cyberattaque devront porter plainte dans les 72 heures. Il faut noter que cette règle ne s’applique qu’aux sociétés et personnes physiques dans le cadre de leur activité professionnelle.

Controversée, la disposition prévoyait au départ de conditionner le remboursement d’une cyber-rançon à un dépôt de plainte. Toutefois, face à la consigne gouvernementale de ne pas payer les rançons et à l’inquiétude des professionnels, celle-ci n’a pas été adoptée.

Des sanctions plus sévères

L’article 6 de la loi du 24 janvier 2023 modifie le Code pénal en augmentant les peines d’emprisonnement et amendes encourues par les auteurs de cyberattaques. Pour les hackers qui auraient frauduleusement accédé à un système de traitement de données, la peine de prison passe désormais de 2 ans à 3 ans et l’amende de 60 000 à 100 000 euros. Pour les infractions portant sur la modification ou la suppression de données contenues dans le système, l’amende sera dorénavant de 150 000 euros (contre 100 000 euros auparavant) et la peine d’emprisonnement encourue de 5 ans (contre 3 ans auparavant).

La loi d’orientation et de programmation du ministère de l’Intérieur prévoit donc de nouvelles mesures visant à mieux sanctionner les auteurs de cyberattaques. Ses dispositions s’appliqueront 3 mois après sa promulgation, soit le 25 avril prochain.