Loi LOPMI : Qu’est-ce que c’est ?
Le ministère de l’Intérieur a proposé un projet de loi LOPMI (Loi d’Orientation et de Programmation du ministère de l’Intérieur) pour transformer numériquement le ministère jusqu’en 2027.
Une « loi de transformation numérique qui saisit toutes les opportunités offertes par les nouvelles technologies pour améliorer le service rendu au citoyen »
Cette loi de transformation numérique relativement large concerne également le secteur de la cybersécurité, qui nous intéresse plus particulièrement. Sur cette partie, cette transformation comprend la création d’un numéro d’urgence pour les signalements d’attaques cybers, la formation de 1 500 cyber-patrouilleurs et le renforcement de l’identité numérique pour faciliter les procédures électroniques telles que la procuration de vote. Quelles sont les conséquences de cette loi pour les chefs d’entreprises et d’organisations ?
Qu’est-ce qui change avec cette loi ?
Selon la loi LOPMI, les organisations qui subissent une attaque informatique doivent désormais porter plainte dans les 72 heures suivant la découverte de l’incident pour pouvoir être indemnisées par leur assurance cyber. Cette règle est valable pour tous les contrats d’assurance, même si elle n’est pas mentionnée dans le contrat. Les garanties d’assistance peuvent être utilisées immédiatement pour aider l’entreprise à identifier la faille de sécurité et les données compromises, trouver des solutions pour limiter les dégâts et préparer un dossier de recours. Cependant, le dépôt de plainte dans les 72 heures est obligatoire.
Qui est concerné et quels types d’attaques sont visés par cette loi ?
La loi sur la cyberassurance concerne les personnes morales et physiques, y compris les entreprises, les associations, les administrations publiques, les professions libérales et les travailleurs indépendants, qui sont victimes d’une cyberattaque dans le cadre de leurs activités professionnelles en France et qui sont assurées par un contrat d’assurance français.
Tous les types d’attaques informatiques sont visés, y compris les attaques par logiciels malveillants, les vols de données, les attaques par déni de service, les hameçonnages, les modifications non sollicitées de sites Internet, les interceptions de communication sur un réseau WiFi public, et l’exploitation de vulnérabilités dans les logiciels. Cette obligation ne s’applique pas aux particuliers subissant une attaque à titre personnel.
Les contrats de pertes financières et de gestion de crises cyber de ces contrats d’assurances sont concernés, y compris la garantie de paiement d’une rançon, les frais de gestion de crise, les frais de recherche, les frais de décontamination, les frais de restauration ou de reconstitution des données et/ou des SI, les frais supplémentaires d’exploitation, les pertes de marge brute d’exploitation, les fraudes informatiques, les extorsions cyber, les frais de notification, les frais de défense, les frais d’enquête CNIL, les frais de communication, etc.
Les garanties de responsabilité civile ne sont pas concernées, car elles ont pour objet d’indemniser une tierce victime et non l’assuré. En cas de cyberattaque à l’étranger, l’organisation ou l’entreprise immatriculée en France et assurée par un contrat d’assurance français peut déposer plainte en France ou dans le pays d’implantation si l’attaque constitue également une infraction dans ce pays. Le dépôt de plainte doit être fait dans un délai de 72 heures maximum à compter de la prise de connaissance de l’incident, et il est recommandé de préparer la plainte en documentant tout élément utile à l’enquête.
Comment porter plainte ?
Pour déposer plainte après une attaque informatique, il faut préparer sa plainte en documentant tous les éléments utiles à l’enquête (traces visibles, liste des actions entreprises, preuves). Ensuite, il faut se rendre dans une brigade de gendarmerie ou un commissariat dans les 72 heures suivant la découverte de l’incident. Si l’organisation est victime d’une attaque à l’étranger, elle peut déposer plainte en France ou dans le pays d’implantation (toujours sous 72 heures) si l’attaque constitue également une infraction dans ce pays.
« L’assurance contre les risques cyber est un enjeu crucial pour les entrepreneurs ainsi que pour les collectivités locales et territoriales, car elle contribue au scoring des entreprises et des investissements. Le délai de 72 heures est extrêmement court, d’autant plus que les week-ends sont compris et que la majorité des attaques se produit pendant ce laps de temps ou pendant la nuit, faisant perdre des heures voire des jours aux organisations concernées pour porter plainte. Bien que nécessaire, cette modification ne traite pas le cœur du problème.
Le groupe de travail du Trésor travaille actuellement à l’établissement de référentiels de sécurité, mais il est impératif de se pencher sur l’harmonisation d’un questionnaire cyber afin d’apposer la première brique et de rendre cette assurance accessible au plus grand nombre dans les plus brefs délais. Nous travaillons étroitement avec Hexatrust et Numeum sur ce sujet. » Stéphane BLANC, Président Fondateur d’AntemetA
En conclusion
La loi LOPMI a été mise en place pour moderniser les services rendus aux citoyens et améliorer la sécurité numérique en France. Elle oblige les organisations à porter plainte dans les 72 heures (week-ends compris) suivant une attaque informatique afin d’être indemnisées par leur assurance cyber. Cette loi s’applique à toutes les personnes morales et physiques assurées par un contrat d’assurance français, qui sont victimes d’une cyberattaque dans le cadre de leurs activités professionnelles en France. Les organisations doivent donc se préparer en documentant tous les éléments utiles à l’enquête en cas d’attaque et porter plainte rapidement pour pouvoir bénéficier de la garantie d’assistance de leur assurance. Mais même si nécessaire, cette modification ne traite pas le cœur du problème. La création d’un questionnaire cyber permettrait d’apposer la première brique et de voir plus loin que de simples référentiels de sécurité.