Depuis le 24 avril 2023, toute personne physique ou morale victime de pertes ou de dommages causés par une cyberattaque dans le cadre de son activité professionnelle doit porter plainte dans un délai de 72 heures à compter de la connaissance de cette atteinte. Ce dépôt de plainte est indispensable pour pouvoir prétendre à une indemnisation par une assurance, sous réserve que le contrat couvre les risques cyber. Cette disposition découle de l’entrée en vigueur de l’article 5 de la loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’Intérieur (Lopmi) et s’applique immédiatement à tous les contrats d’assurance en cours.
On notera que le délai court à partir de la découverte des dommages et non à partir de la date de survenue de la cyberattaque. Sont notamment visées les attaques par rançongiciels (initialement la loi ne visait que ce risque avant d’être étendu par les députés à toutes les cyberattaques), les opérations d’hameçonnage (mail, SMS, appels de personnes se faisant passer pour une entité dans l’optique d’extorquer des fonds), les vols de données, les défigurations de sites internet, les attaques par déni de service visant à empêcher l’accès à un site internet, les interceptions de communication comme le piratage d’un réseau Wifi public ou encore l’exploitation de failles de vulnérabilité d’un logiciel.
Au-delà d’un encadrement du dédommagement des risques cyber – rarement compris dans les polices d’assurance actuelles – cette disposition doit permettre de mieux connaître les cyberattaques et de lutter contre leurs auteurs. On rappellera que la notification d’une cyberattaque à la Cnil, dans la mesure où il y a eu violation de données personnelles, est aussi obligatoire, sous 72h également.
.