L’actuel délai de soixante-douze heures, indispensable à respecter pour déposer plainte après une cyberattaque, est une condition fixée par le Code des assurances pour l’indemnisation. S’il était voté, un amendement déposé par l’Amrae à l’occasion de l’examen d’un projet de loi en cours d’examen au Parlement pourrait adapter ce dispositif qui s’avère inutilement strict et défavorable aux entreprises assurées.
La loi d’orientation et de programmation du ministère de l’Intérieur (Lopmi) du 24 janvier 2023 a formalisé, dans le Code des assurances (1), les conditions d’indemnisation des entreprises victimes de cyberattaques. L’article L.12-10-1 du Code des assurances, d’ordre public, impose ainsi aux entreprises assurées de procéder au dépôt d’une plainte pénale devant les autorités compétentes dans les soixante-douze heures suivant la connaissance de l’atteinte afin de pouvoir bénéficier d’une couverture assurantielle (2).
Comme nous avons pu l’écrire dans ces mêmes colonnes, la rédaction de l’article L.12-10-1 du Code des assurances est des plus hasardeuses (3) et n’a pas manqué de soulever de nombreuses problématiques concrètes pour les entreprises et les assureurs (4) sans pour autant remplir les objectifs initialement fixés.
C’est dans ce contexte que, à l’occasion de l’examen du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (5), destiné à transposer en droit interne une série de directives européennes (6), l’Association pour le management des risques et des assurances de l’entreprise (Amrae) (7) a annoncé le dépôt d’un amendement visant à assouplir le point de départ du délai de soixante-douze heures. Celui-ci ne commencerait donc plus à courir à compter de « la connaissance de l’atteinte par la victime », mais à partir de la « notification de l’atteinte par la victime à son assureur » (8).
Le nouvel article L.12-10-1 du...
Article L.12-10-1 du Code des assurances :
