Avec les dernières évolutions du cadre législatif, la cyber-assurance est elle un nouveau bouclier pour le DSI ?

Secu

La cyber-assurance : un nouveau bouclier pour le DSI ?

Par Pierre-Randolf Dufau, publié le 28 avril 2023

Le risque d’exposition aux cyberattaques ne cesse d’augmenter et, selon l’avis de 70 % des décideurs informatiques (Dell Technologies Global Data Protection Index 2022), plus particulièrement depuis la généralisation du télétravail. Pour faire face à cette menace grandissante, les pouvoirs législatif et exécutif ont posé le principe d’assurabilité des risques cyber et ainsi ouvert la porte à de nouveaux outils de couverture de ces risques.


Par Cassandre Mariton & Isaure Lavigne, PRD Avocats


L’arrêté du 13 décembre 2022 « relatif à la classification des engagements d’assurance consécutifs aux atteintes aux systèmes d’information et de communication » fait naître dans le Code des assurances deux catégories ministérielles permettant aux assureurs d’encadrer les risques cyber.

En effet, il intègre deux types de risques liés aux atteintes aux systèmes d’information, à savoir les dommages aux biens et les pertes pécuniaires qui en découlent.

Dorénavant, les assureurs devront, lors de l’inventaire de leurs engagements et de la transmission de leurs données comptables et statistiques, ajouter une référence permettant de distinguer les deux nouvelles garanties cyber. Cependant, ces « garanties cyber » s’appliquent seulement pour les comptes rattachés aux exercices ouverts à partir du 1er janvier 2023.

Afin d’armer les professionnels dans la lutte contre la cybercriminalité, la « Loi d’Orientation et de Programmation du ministère de l’Intérieur » (LOPMI) a été promulguée le 24 janvier dernier. Elle a pour dessein d’accompagner la transformation numérique, de « moderniser les moyens de lutte contre la cybercriminalité » et notamment d’instaurer une couverture financière pour les professionnels victimes de cyberattaques.

Les nouvelles dispositions de la LOPMI relatives aux cyber-assurances entreront en vigueur le 25 avril 2023. Elles encadreront les clauses d’indemnisation dans le cadre d’une atteinte à un système de traitement automatisé de données, comme lors d’un rançongiciel. L’indemnité sera conditionnée par le dépôt d’une plainte de la victime dans les 72 heures après la prise de connaissance de la cyberattaque.


À LIRE AUSSI :


En parallèle, la loi durcit également les sanctions prévues par le Code pénal. Par exemple, les auteurs de cyberattaques contre un réseau informatique ou bancaire, un hôpital ou un service de numéro d’urgence seront punis de dix ans d’emprisonnement et 300 000 € d’amende.

Par ailleurs, sera désormais puni de trois ans d’emprisonnement et de 100 000 € d’amende « le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données ». Pour rappel, l’article 323-1 du Code pénal fixait les peines à deux ans d’emprisonnement et 60 000 € d’amende.

Enfin, pour renforcer la détection des cyberattaques, la LOPMI prévoit d’instaurer, pour les particuliers et les entreprises, un numéro d’urgence spécial : le 17 Cyber. Il permettra de signaler, à un opérateur spécialisé, une cyberattaque ou une escroquerie en ligne en direct.

Le marché de l’assurance apparaît donc comme une nouvelle piste pour donner aux entreprises les clés permettant d’accroître leur capacité de résilience face aux cyberattaques tout en veillant, par son encadrement, à ne pas encourager le modèle de rentabilité des cybercriminels.


À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights