Actualité de la cyberassurance, avec Me Oriana Labruyère avec la loi l’OPMI

Invité du second webinar d’actualité, Me Labruyère se penche sur la question de la cyberassurance.

NumActu : Concernant la loi d’orientation et de programmation du ministère de l’intérieur ou le l’OPMI, est-ce que tu pourrais déjà rappeler le contexte de cette loi ?

Me Orinana Labruyère : Déjà, une loi d’orientation, il faut bien comprendre que c’est une loi générale, de grands objectifs, de grands principes à réaliser. Dans cette loi de programmation, il était visé notamment le remboursement en cas de cyberattaque. C’est vraiment dans ce contexte de la cyberattaque massive que nous subissons, et que vous avez entendu parler au quotidien, qu’arrive cette loi d’orientation et de programmation du ministère de l’intérieur.

NA : Comment cette loi prend en compte les attaques et ses rançons logiciels ?

OL : Dans dans cette loi, on a un article 5 qui vient encadrer l’assurabilité des risques cyber et qui encadre le paiement des cyber rançons avec une couverture assurantielle qui est envisagée. Est-ce que cela veut dire que vous avez la possibilité de vous faire rembourser un ransomeware, en tout cas ses conséquences durant ce mois et dans quelles conditions ? Cela veut dire que potentiellement oui. Ce qu’il faut comprendre c’est que la cette loi là a été plus loin que simplement la question de la rançon.

Pour rappel, le rançon logiciel, c’est lorsqu’on vous dérobe vos données, qu’elles ne sont plus accessibles, et contre une forte somme d’argent, on vous promet de vous les rendre. On a donc chiffré par exemple vos sauvegardes, et quand vous essayez de restaurer, vous ne pouvez pas. Donc au final, vous avez le choix d’abandonner votre sauvegarde, ou bien de payer le cybercriminel.

La loi est allée plus loin puisqu’on n’est pas uniquement sur l’atteinte dans le cadre d’une rançon, mais on est vraiment sur une atteinte sur le système d’information automatisé de données. Donc on est sur des attaques. C’est un système STAD qui est le Système de Traitement Automatisé des données.

NA : Quels sont les délais prévus ?

OL : Dans cette loi, on a notamment une obligation qui est une obligation de dépôt de plainte. Cela veut dire que concrètement, lorsque vous subissez une cyber rançon. Si vous souhaitez faire marcher votre assurance, vous ne pouvez pas passer l’incident sous silence. Vous avez une obligation légale de faire un dépôt de plainte sous 72 heures. 72 heures, on peut se dire que ça va mais en réalité c’est hyper court ! Hyper court parce qu’un dépot de plainte, ça ne s’improvise pas. Il y a un certain nombre de choses qu’il va falloir apporter, surtout si vous voulez que la plainte prospère, de démonstration de preuve. Donc ça veut dire qu’au moment où déjà vous subissez l’attaque et vous êtes vous rentrez dans un système de gestion de crise et que peut-être vous cédez un peu à la panique, vous devez avoir des experts, une cellule de “com”, vous avez tout un système qui va se mettre en place. Et il ne faut pas oublier dans ces 72 heures de prévoir un temps de dépôt de plainte. Donc ce temps de dépôt de plainte dans les 72 heures, il est indispensable si vous voulez avoir cette indemnisation par votre assurance. Donc ça c’est vraiment très important.

Et pourquoi ces 72 heures sont aussi important à garder en tête ? On parlait du RGPD au début du webinar, c’est évidemment le même délai pour prévenir et faire une notification à l’autorité de contrôle quand l’attaque que vous subissez engendre une perte d’intégrité de confidentialité ou une perte d’accès aux données personnelles que vous gérez. Donc les données personnelles de vos collaborateurs mais aussi ceux de vos clients ou de vos partenaires que ce soit un fichier de prospect, un fichier de contact professionnel, vous devrez faire votre déclaration dans les 72 heures également. Donc finalement dans ces 72 heures qui sont un temps assez courts, on a une obligation au niveau pénal d’aller faire un dépôt de plainte, et on a une obligation de faire une déclaration à la CNIL.

NA : Pourriez-vous évoquer maintenant le périmètre qui est pris en charge ?

OL : Si on reprend, j’ai connaissance d’une atteinte. Dans les 72 heures de cette connaissance de l’atteinte, je dépose plainte et je fais ma déclaration auprès de l’autorité de contrôle. Et là seulement, j’aurai la possibilité de me voir couvert, en fonction de votre contrat après évidemment là je vais pas rentrer dans toutes les possibilités contractuelles que vous pouvez rencontrer, mais je vais pouvoir avoir dans mon assurance cyber la couverture de dommages aux biens consécutifs de cette atteinte aux systèmes d’information et de communication, donc typiquement si vous devez mettre au rebut un certain nombre de matériel informatique, on pourra avoir ces biens couverts, donc cette perte de biens, et puis on va avoir évidemment les pertes financières qui sont consécutives aux atteintes.

Donc ces deux garanties devront bien être visées par les assureurs dans les contrats d’assurance et les contrats d’assurances devront donc être adaptés conformément aux articles de cette loi pour prendre en compte les modifications du code des assurances.