ASSURANCE DES CYBERATTAQUES – LE PARQUET DE PARIS ET L’ANSSI COMMENTENT LE NOUVEL ARTICLE DU CODE

par | 15 Fév 2023 | Brèves

Ce nouvel article L.121-10-1 est ainsi libellé : « Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime ».

Il a fait l’objet d’intéressantes prises de position par le Parquet de  Paris (nationalement compétent en la matière) et l’ANSSI à l’occasion des dernières rencontres de l’AMRAE :
– la loi ne reprend pas le terme « rançon » figurant au projet initial. Le terme « atteinte à un système » a été préféré pour inclure la totalité des délits liés à une attaque cyber : ransomware, phishing, drive-by download, DoS, DDoS, etc… ;
– la loi ne précisant pas le type de plainte, les plaintes simples, voire les mains-courantes, répondent à l’objectif du texte qui est de remonter l’information vers le parquet de Paris, à des fins statistiques, et à des fins d’enquête sur les réseaux de hackers ;
– il appartiendra aux assureurs de définir précisément les conditions d’application de la « subordination » du paiement de l’indemnité au dépôt d’une plainte, et notamment si le respect du délai de 72 heures doit être strict, ou s’il relève d’une déchéance classique ;
– même assuré, le paiement d’une rançon reste un délit. Les entreprises procédant au paiement d’une rançon sont en effet susceptibles de tomber sous le coup du délit de financement d’une entreprise terroriste ;

A noter enfin que la plainte sera requise pour un sinistre cyber affectant une filiale étrangère afin de bénéficier le cas échéant des garanties de la police.

Source : AMRAE

Contactez-nous