La fréquence, l’ampleur des conséquences ainsi que la complexité des cyberattaques représentent aujourd’hui une réelle menace sur les activités d’une entreprise.

Le Club des experts de la sécurité de l’information et du numérique ¹ (CESIN) estime que 54% des entreprises françaises ont fait l’objet d’une cyberattaque en 2021, tandis que France Assureurs ² place le risque de cyberattaque en tête du classement des risques pour la sixième année consécutive.

C’est dans ce contexte que la direction générale du Trésor a élaboré un plan d’action destiné à clarifier le cadre juridique de l’assurance du risque cyber, favoriser une meilleure mesure de ce risque et accroître les efforts de sensibilisation des entreprises face au risque cyber.

La loi d’orientation et de programmation du ministère de l’Intérieur (« LOPMI ») n°2023-22 du 24 janvier 2023 entend répondre à ces objectifs par différentes propositions, parmi lesquelles l’article 5 créant le nouvel article L. 12-10-1 du code des assurances. Cette nouvelle disposition du code des assurances, qui entrera en vigueur le 24 avril 2023, conditionne désormais l’indemnisation assurantielle des préjudices causés par une atteinte à un système de traitement automatisé de données (« STAD »), au dépôt de plainte par la victime dans un délai de 72 heures.

D’un droit pour la victime à déposer plainte, cet article l’a transformé en obligation aux conséquences non négligeables en cas de non-respect. 

1. Une obligation non limitée aux seuls cas de paiement d’une cyber-rançon … ni aux violations de données

Si le rapport législatif relatif à la LOPMI évoquait, à l’origine, un texte visant à « casser le modèle économique des cyberdélinquants » réclamant le paiement de cyber-rançons, en particulier dans le cadre d’attaques au moyen de « ransomware », en imposant un dépôt de plainte préalablement à toute indemnisation assurantielle du paiement d’une cyber-rançon, l’article L.12-10-1 a en réalité une portée beaucoup plus large puisqu’il s’applique à toute forme de cyber attaque et plus largement à beaucoup d’incidents de cyber sécurité.

Le texte vise en effet l’indemnisation, au titre d’un contrat d’assurance souscrit à titre professionnel, de toutes « pertes et dommages » causés par une atteinte à un STAD.

Le paiement de cyber-rançons n’est donc pas spécifiquement visé, et cette obligation de déposer plainte s’applique ainsi d’une manière générale aux atteintes aux systèmes d’information, plus précisément dans les cas suivants prévus aux articles 323-1 à 323-3-1 du code pénal :

• Accéder ou se maintenir frauduleusement dans tout ou partie d’un STAD ;
• Entraver ou fausser le fonctionnement d’un STAD ;
• Le fait d’introduire frauduleusement des données dans un STAD, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient ;
• Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions précitées.

Cette obligation est par ailleurs indépendante de l’existence ou non d’une violation de données dans le cadre de cette atteinte au STAD.

En pratique, cette obligation de dépôt de plainte est donc susceptible de s’appliquer à des situations très variées, telles que :

• Une attaque de type ransomware avec chiffrement des données et éventuel vol de données, que le paiement d’une cyber rançon soit ou non exigé ou réalisé ;
• Une attaque par déni de service (attaque DDOS visant à saturer un serveur de connexions) ;
• Un salarié ou consultant externe procédant à une copie non-autorisée de données (par exemple en prévision de son départ d’une entreprise).

2. Un délai « couperet » de 72h dès la connaissance d’une cyberattaque

Le dépôt de plainte auprès des autorités compétentes (police, gendarmerie, ou directement auprès du Procureur de la République) doit intervenir dans un délai de 72h à compter de la connaissance de l’atteinte au STAD par la victime.

En pratique, il s’agit d’un délai très court puisque les incidents de cyber sécurité sont souvent complexes et peuvent nécessiter des investigations approfondies pour en déterminer précisément la nature, l’ampleur et les conséquences. Les victimes d’incidents disposent ainsi souvent d’informations limitées lors de sa découverte et même encore 72h après, et les équipes IT, métiers, juridiques et communication sont souvent fortement mobilisées sur la gestion de l’incident.

Un incident de cyber sécurité peut par ailleurs sembler limité ou contenu dans les premières heures ou intervenir à une période à moindre impact pour les activités de l’entreprise. Il peut donc ne pas soulever dans l’immédiat de risque majeur en termes de perte d’exploitation, perte de données ou autre et de ce fait, la question assurantielle peut ne pas être identifiée comme un enjeu majeur à ce stade. Or, l’attaque peut s’avérer ultérieurement de plus forte ampleur par de nouveaux signes de compromission au fil des investigations ou évoluer sous une autre forme.

Ainsi, le point de départ du délai est susceptible de donner lieu à interprétation. Si l’assuré dispose d’informations ne permettant pas de confirmer avec certitude une intrusion dans son système ou une extraction de données, mais soupçonne raisonnablement une atteinte, doit-il procéder à un dépôt de plainte à titre préventif afin de ne pas risquer un refus d’indemnisation de la part de son assureur, quitte à déposer plainte pour des incidents très mineurs et ainsi inonder les autorités sous d’innombrables plaintes ?

Les professionnels de la cyber sécurité le savent : il est parfois difficile de déterminer avec certitude si une cyberattaque s’est produite. Des outils de type EDR peuvent détecter une activité suspecte donnant alors lieu à une alerte et investigation de différents logs, sans qu’il soit toujours possible de confirmer avec certitude une véritable intrusion dans le système ou une extraction de données.

Ce n’est en toute hypothèse pas le meilleur tempo, à notre sens, pour procéder à un dépôt de plainte qui intervient de notre expérience souvent un peu plus tard, une fois l’incident maîtrisé.

3. Un délai de dépôt de plainte à ne pas confondre avec le délai de notification des violations de données à caractère personnel

Au titre de l’article 33 du règlement 2016/679/UE (le « RGPD »), les entreprises savent que tout responsable de traitement est tenu de notifier à l’autorité de contrôle compétente toute violation de données à caractère personnel dans un délai de 72 heures à compter de la prise de connaissance de ladite violation (sauf si elle n’est pas susceptible d’engendrer un risque pour les personnes concernées). L’article 34 impose également d’informer les personnes concernées dès que possible lorsque la violation est susceptible d’engendrer un risque élevé pour elles.

Sous le RGPD, le délai de 72 heures court à compter de la connaissance d’une violation de données, laquelle peut n’être révélée ou identifiée que quelques jours après les premiers signes d’atteinte au système. Or, au titre de l’article 5 de la LOPMI, le délai court à compter de la connaissance d’une atteinte au STAD indépendamment de toute atteinte aux données à caractère personnel.

En pratique, le dépôt de plainte devra donc le plus souvent intervenir dans un délai plus court qu’au titre du RGPD, pouvant nécessiter de devoir réévaluer l’adéquation des processus internes de gestion des incidents de sécurité et cyber attaque à cette nouvelle obligation et impliquer des services tels que les départements juridique, assurance, etc à un stade plus amont du processus actuel (voire dans des cas mineurs pour lesquels ces départements n’auraient pas été nécessairement impliqués).

4. Quelles conséquences pour les entreprises suite à cette nouvelle disposition ?

Dans la mesure où ce texte a pour conséquence de déchoir un assuré de son droit à indemnisation de ses pertes et dommages faute d’avoir déposé plainte dans le délai prévu, les entreprises doivent intégrer cette nouvelle obligation dans leurs processus de gestion de crise :

• L’entreprise devra intégrer, dans sa procédure de gestion des incidents de sécurité, cette nouvelle obligation, en insistant sur le concept large de STAD, le point de départ du délai de 72 h qui court dès la connaissance de l’atteinte, et l’absence de couverture assurantielle faute de déposer plainte dans ce délai ;
• Les équipes internes en charge de la réponse à incident doivent être sensibilisées sur cette nouvelle obligation et un processus décisionnel (qui décide du dépôt de plainte, valide son contenu, qui dépose et sous quelle forme, etc), devra être formalisé ;
• Un modèle de lettre type de plainte devrait être préparée qualifiant déjà les différents types d’atteintes à un STAD visés par ce nouvel article. En cas d’attaque justifiant un dépôt de plainte, une description des faits pourra simplement être ajoutée ce qui facilitera et accélèrera le dépôt de plainte.

Cette obligation de déposer plainte très tôt est susceptible de conduire à une démultiplication des notifications « par précaution » d’incidents de sécurité (sans être nécessairement qualifiés formellement à ce stade de violation de données) aux autorités de protection des données.

A l’inverse, la décision éventuelle de ne pas notifier l’autorité de protection des données compétente parce que la violation ne serait pas confirmée, alors qu’une plainte aura déjà été déposée, devra être documentée avec soin dans le registre interne des incidents de sécurité, en miroir de l’obligation qui existe déjà pour les violations de données non susceptibles d’engendrer un risque pour les personnes concernées,  afin de pouvoir justifier ce choix en cas de contrôle ultérieur par l’autorité compétente.

Geoffroy Coulouvrat, Avocat au Barreau de Paris, Senior Associate du cabinet Norton Rose Fulbright

___________________

¹ Club des experts de la sécurité de l’information et du numérique, Baromètre annuel de la cybersécurité des entreprises, Enquête OpinionWay pour le CESIN réalisée en ligne en décembre 2021 auprès de 282 membres du CESIN, janvier 2022.

² France Assureurs, Cartographie prospective 2023 des risques de la profession de l’assurance et de la réassurance, janvier 2023.