Alors que les attaques cyber par rançonnage se multiplient, paralysant littéralement les entreprises visées, nombreux sont ceux qui font le choix de payer la rançon exigée afin de reprendre leur activité. Ce sera encore possible mais si l’on veut obtenir indemnisation, il faudra porter plainte, dispose la loi du 24 janvier dernier. Pourquoi ? Que contient cette nouvelle loi ? Passons en revue le contenu des articles de la loi LOMPI 2023-22 du 24 janvier 2023 qui entrera en vigueur le 24 avril 2023.
L’assurabilité des cyber-rançons…
Il faut d’abord constater qu’aujourd’hui, aucun pays de l'OCDE n’interdit le paiement des rançons, ni le principe de leur couverture assurantielle. Devant l’ampleur des risques cyber qu’elles courent, les entreprises se sont donc massivement tournées vers l’assurance, qui peut notamment prendre en charge le paiement d’une rançon, en cas d’attaque.
La loi du 24 janvier ne s’oppose pas à ce principe de paiement : les cyber-rançons exigées à la suite de cyberattaques pourront donc faire l'objet d'une couverture assurantielle.
…Sous réserve d’un dépôt de plainte rapide
Ce qui pourra véritablement changer les choses, réside dans la condition de l’indemnisation : les victimes devront porter plainte dans les 72H. Voici les précisions apportées par ce long article :
- Le délai de 72h court à partir du moment où les victimes ont connaissance de l’attaque.
- Les victimes sont entendues comme les personnes morales et physiques couvertes par une assurance française, dans le cadre de leur activité professionnelle.
- On définit l’attaque à l’origine du sinistre de manière large comme le fait d'accéder, d’entraver, de fausser, d’exporter, d’introduire, de modifier etc…frauduleusement, afin de commettre une infraction.
Il s’agit ainsi de mieux sanctionner les auteurs d’attaques informatiques car l’article du 24 janvier modifie également le Code pénal en augmentant les amendes et les peines de prison encourues par les auteurs de cyberattaques.
Avec cette exigence de dépôt de plainte et cette contrainte temporelle, le législateur espère ainsi accélérer les enquêtes, faciliter l'identification des auteurs et éviter la dissipation des fonds.
Il faut seulement regretter que la loi ne s’applique de manière trop disparate : elle concernerait ainsi 84% des grandes entreprises, 9% des ETI mais seulement 0,2% des PME.