Loi LOPMI : quel impact sur l’assurance cyber ?

Pourtant parfois désastreuses pour les entreprises, les conséquences des cyberattaques n'avaient jusqu'à présent pas vraiment de réponse dans les textes de loi française. Avec la loi LOPMI entrée en vigueur cette année, les choses commencent à changer mais dans quelle mesure ? Et à quel rythme ? C'est ce que nous vous proposons de voir ensemble en voyant d'abord ce qu'est la LOPMI dans le contexte actuel de la cybersécurité puis ce qu'elle apporte par rapport aux assurances qui couvrent les risques cyber et enfin ce à quoi l'on peut s'attendre à court terme.

Matrisk Assurance
,
Courtier en assurance pour les professionnels
14/9/2023
Mis à jour le
3/5/2024
-
temps
minutes de lecture
loi lopmi

Qu’est-ce que la loi LOPMI ?

La cybersécurité en France aujourd’hui

Les enjeux de cybersécurité ne sont pas chose nouvelle. Depuis l’avènement de l’ère d’Internet, la cybercriminalité et la cyberdélinquance se sont considérablement développées. Du simple hameçonnage aux menaces de sécurité nationale, en passant par les rançongiciels, se protéger est devenue une nécessité absolue, pour l’individu comme pour les organisations. Privé, public, civil, militaire, aucun secteur n’est épargné et le monde de l’entreprise a lui aussi connu son lot de cyberattaques marquantes.

Dans notre pays, entre 2021 et 2022, ces pratiques délictueuses et criminelles ont poursuivi leur évolution. Ainsi, selon un rapport de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), on a pu observer les tendances suivantes :

  • Les attaques venues d’agents de certains États imitent de plus en plus les modes opératoires privilégiés par les cybercriminels ;
  • D’une manière générale, les cyber-attaquants, qu’ils soient criminels ou agents étatiques, privilégient principalement l’utilisation de rançongiciels d’une part et l’établissement discret d’un réseau étendu de surveillance au travers des structures périphériques à l’entité ciblée (sous-traitants, prestataires, fournisseurs) ;
  • Les TPE, PME et ETI sont les entreprises les plus touchées par les rançongiciels (40% des cas traités par l’ANSSI en 2022) ;
  • Les failles principalement exploitées proviennent essentiellement de l’utilisation du Cloud et de l’externalisation de certains postes.
cybersécurité loi LOPMI

Loi LOPMI : objectifs et changements au 24 janvier 2023

Le projet de loi LOPMI a été élaboré et porté devant l’Assemblée Nationale fin 2022, avant d’être voté, validé (et retoqué) par le Conseil constitutionnel, promulgué le 24 janvier 2023 et enfin publié dans le Journal officiel le 25 janvier 2023.

Toutefois, il est très important de préciser que les dispositions prévues dans la Loi d’Orientation et de Programmation du Ministère de l’intérieur concernent des enjeux qui dépassent la cybersécurité. En effet, la loi LOPMI poursuit plusieurs objectifs convergents, et ce sur plusieurs codes de loi (code pénal, code de procédure pénale, code des assurances, etc.) La liste exhaustive et détaillée est accessible sur le site officiel vie-publique.fr. Voici les principaux axes à retenir.

Modernisation numérique du Ministère de l’intérieur

Ce volet vise à simplifier un certain nombre de procédures par voie de dématérialisation mais aussi à créer certaines structures pour donner plus de moyens d’action aux policiers et gendarmes :

  • Les procurations électorales papier disparaissent au profit d’un équivalent dématérialisé ;
  • Création d’une agence du numérique des forces de sécurité ;
  • Mise en place du RFF (réseau radio du futur), un réseau 4G/5G commun à toutes les forces de l’ordre et services de secours ;
  • Création d’une école de formation de cybersécurité, interne au ministère de l'intérieur et mise en place de la plateforme 17 cyber pour signaler en temps réel tout fait de cybercriminalité ;
  • Sensibilisation des entreprises et institutions aux risques cyber ;

LOPMI : amendes, prison et dispositifs de plainte

  • Lancement de l’application “Ma Sécurité” pour porter plainte en ligne ;
  • Modifications au code de procédure pénale pour former les agents à exercer les fonctions d’officiers de police judiciaire (OPJ) dans certaines limites ;
  • Durcissement de plusieurs séries de peines (prison et amende forfaitaire délictuelle) pour de très nombreux types de délits et crimes, dont, pour la cybercriminalité, les attaques contre les hôpitaux, banques et services d’urgence.

LOPMI : gendarmerie, police

Cet ensemble de mesures comprend à la fois des augmentations d’effectifs de manière directe mais aussi indirecte par la départementalisation de la police nationale et la décentralisation de certains services ministériels vers les collectivités territoriales. La LOPMI prévoit également la fourniture de davantage d’équipements et d’une réforme des concours d’entrée pour permettre un recrutement plus large.

Contactez-nous

Sécurisez votre avenir professionnel. Découvrez les solutions d'assurance Matrisk avec un de nos experts. Contactez-nous !

Loi LOPMI : les assurances cyber

LOPMI : texte sur le contrat d’assurance

Au vu du contexte évoqué plus haut, la LOPMI prend des dispositions pour aider les entreprises à se prémunir contre les risques cyber. Ces dispositions figurent à l’Article 5 du texte de loi.

Elles ajoutent un chapitre X au livre Ier du code des assurances :

« Art. L. 12-10-1.-Le versement d'une somme en application de la clause d'un contrat d'assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d'une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l'atteinte par la victime. »

« Le présent article s'applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. »

Critères d’éligibilité

Si l’on veut faire la synthèse de cet ajout et des textes déjà existants, alors cela signifie que toute personne physique ou morale (entreprise), est en droit, dans le cadre de l’exercice de sa profession :

  • D’avoir une clause couvrant un risque cyber dans son contrat d’assurance, et ce, que le contrat soit spécifique ou non à ce type de risques (par les articles 323-1 et suivants du code pénal, relatifs à l’atteinte à un système de traitement automatisé des données) ;
  • D’être couvert dans le paiement des rançons d’attaques par rançongiciel si le contrat le prévoit (par la loi LOPMI).

En plus de devoir être un professionnel, ces dispositions sont soumises à la condition suivante :  

Un dépôt de plainte doit être effectué sous un délai de 72 heures après la prise de connaissance du fait, par la victime. En tant que client d’une assurance, cela peut être contraignant mais c’est une condition nécessaire et demandée par CNIL. En cas de non-respect, vous pouvez à la fois subir les dommages d’une cyberattaque et ne pas en être indemnisé.

Tout ce dont on vient de parler constitue bien évidemment les dispositions légales mais cela ne garantit pas à l’entreprise ou à la personne victime un remboursement par sa compagnie d’assurances : le paiement est également soumis aux critères prévus par le contrat d’assurance. Notez que la loi est rétroactive pour les contrats d’assurance déjà en cours de validité à la date d’entrée en vigueur.

Loi LOPMI : quel avenir pour les cyber assurances en entreprise ?

Décret, LOPMI : les mesures complémentaires

En plus de l’article 5, la loi LOPMI ajoute, dans le code de procédure pénale, une mesure pour rendre plus efficace le travail des enquêteurs dans les affaires cybercriminelles : désormais, les officiers de police judiciaire n’ont plus besoin de passer par un juge des libertés et de la détention pour saisir des actifs numériques, l’autorisation du procureur ou du juge d’instruction est suffisante. Cela limite le risque que les actifs acquis frauduleusement soient convertis en cryptomonnaies et donc irrécupérables.

Parallèlement, un arrêté pris en date du 13 décembre 2022 établit une base pour catégoriser certains risques cyber. Avec toutes ces évolutions, on assiste à l'établissement progressif d’un cadre légal visant à apporter des solutions aux nouveaux enjeux de la cybercriminalité.

avenir loi LOPMI

Ajustements, budget : LOPMI 2023, une année de transition

Si la loi LOPMI a été promulguée le 24 janvier 2023, elle est entrée en vigueur le 24 avril 2023. Il faut du temps aux entreprises clientes tout comme aux compagnies d’assurances pour s’ajuster à ce nouveau cadre légal :

  • Il faut auditer les niveaux de cybersécurité déjà existants ;
  • Réévaluer des référentiels de normes ;
  • Budgétiser et implémenter des nouvelles mesures préventives ;  

Dans ce cadre, au milieu de l'année 2023, la Direction Générale du Trésor a dirigé des groupes de travail en collaboration avec les principaux acteurs du secteur.

En résumé, la loi LOPMI est un texte dont la portée dépasse le monde de l’entreprise puisqu’il concerne à la fois la réforme du fonctionnement du ministère de l’intérieur ; l’augmentation des effectifs, de l’équipement et des possibilités légales des forces de police ainsi que les réponses face à divers enjeux de sécurité dont la cybercriminalité. Côté assurances, il faut retenir que la LOPMI marque l’entrée des garanties face aux risques cyber dans le code des assurances, sous certaines conditions, notamment l’obligation d’un dépôt de plainte dans les 72 heures suivant la découverte de l’incident (une exigence posée par CNIL).

Chez Matrisk, nous sommes spécialisés dans la couverture des sinistres des TPE et PME, les entreprises les plus concernées par les risques de rançongiciel. Aussi pour garantir la pérennité de votre entreprise, nous avons mis au point une formule spécialement dédiée aux risques cyber. N’attendez plus et découvrez notre offre !

FAQ : Projet LOPMI

Qu'est-ce qu'une loi d'orientation et de programmation ?

Une loi d'orientation, ou loi-cadre est une loi générale qui décrit une réforme dans les grandes lignes avec ses objectifs et ses engagements sous des horizons définis. Elle est à l'initiative du gouvernement et est complétée par des décrets d'application pris à l'échelle nationale mais aussi par certaines collectivités territoriales. Une loi de programmation est quelque chose de très similaire. Prévue par la constitution, une loi de programmation fixe les objectifs de l'État sur une période donnée ainsi que les moyens financiers à mettre en œuvre. Ces derniers doivent être validés par une loi de finances votée lors du bouclage du budget annuel.

Où en est la loi LOPMI ?

Du point de vue du parcours juridique, la Loi d'orientation et de programmation du ministère de l'Intérieur a été votée, retoquée par le conseil constitutionnel, promulguée par le président de la république, publiée au journal officiel et, le 24 avril 2023, elle est entrée en vigueur. Du point de vue de l'application, il faut plusieurs années à partir de là pour qu'elle soit complètement implémentée.

Que prévoit la loi LOPMI pour l'Outre-Mer ?

Dans les collectivités territoriales d'Outre-mer, l'accent est mis sur les rénovations des infrastructures de communication, sur l'investissement technologique dans le cadre de la lutte contre les trafics aux frontières ainsi que sur les moyens d'intervention rapide pour les secours en cas de catastrophe naturelle en fonction de chaque territoire.