Tout savoir sur la loi d'orientation et de programmation du ministère de l'intérieur - LOPMI

Tout ce qu'il y a à savoir sur la LOPMI

La loi d'orientation et de programmation du ministère de l'intérieur - LOPMI, fixe les objectifs et programme les moyens humains, juridiques, budgétaires et matériels du ministère de 2023 à 2027. Près de la moitié du budget de la loi est consacrée à la "révolution numérique" du ministère et à la modernisation des moyens de lutte contre la cybercriminalité.

Parmi les projets annoncés, le paiement de la rançon en cas de cyberattaque est désormais autorisé pour les assureurs. Ce paiement de la rançon est encadré et soumis à différentes conditions. L'objectif étant de fournir à la police et à la justice plus d'informations sur ces attaques.

Le remboursement est désormais conditionné au dépôt d'une plainte de la victime dans les 72h après connaissance de l'infraction. Les parlementaires ont prévu que l'obligation soit limitée aux professionnels et qu'elle s'applique 3 mois après la promulgation de la loi, soit le 24 avril 2023.

🔵 14 décembre 2022 : adoption définitive de la LOPMI et de l'obligation pour l'assuré de déposer plainte sous 72h en cas de cyber-attaque

🟡 19 janvier 2023 : le Conseil constitutionnel a jugé partiellement non conforme la loi, à la suite d'une saisine par plus de 60 députés, mais sans toucher aux dispositions relatives à l’assurance cyber

🟢 24 janvier 2023 : promulgation par le Président de la République de la LOI n° 2023-22 d'orientation et de programmation du ministère de l'intérieur, et publication au Journal officiel le lendemain

🟠 24 Avril 2023 : Entrée en vigueur de la LOPMI

Pour mémoire, l’article 4 de la LOPMI dans sa version actuelle :

I. – Le titre II du livre Ier du code des assurances est complété par un chapitre X ainsi rédigé :

Chapitre X - L’assurance des risques de cyberattaques _« Art. L. 12-10-1. – Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime. Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. »_

1. Affirmation préalable : la LOPMI autorise le paiement des ransomwares

Contrairement à la version initiale du projet de loi déposé par le Gouvernement, uniquement dédié à la couverture du paiement d’une cyber-rançon, l’article actuel a supprimé toute référence aux ransomwares. Le projet de loi LOPMI vise désormais de manière générale l’assurance des pertes et dommages causés par une cyber-attaque. Les rançongiciels font partie des cyber-attaques et demeurent donc implicitement concernés par ce texte. Mais les parlementaires ont fait le choix de ne pas énoncer d’autorisation ou d’interdiction explicite du paiement des rançons et de leur assurance.

Quoi qu’il en soit, il n’existe pas aujourd’hui en France d’obstacle juridique majeur au paiement des rançons (cyber ou non) et à leur assurance, dans la limite des cas de financement du terrorisme.

2. Sous quelles conditions les assureurs pourront développer ce type de couverture ?

L’assurance des risques de cyber-attaques existe déjà en France, avec notamment des garanties cyber-extorsion qui ont pour objet de rembourser à l’assuré le montant d’une cyber-rançon qu’il aurait été contraint de payer. Avec la LOPMI, l’assureur devra exiger de son assuré victime d’une cyber-attaque qu’il justifie d’un dépôt de plainte dans les 72 heures après la connaissance de cette atteinte. À défaut de dépôt de plainte dans ce délai, l’assureur aura interdiction d’indemniser son assuré pour les pertes et dommages qu’il a subis du fait de cette cyber-attaque. Cette exigence ne s’applique pas aux consommateurs, à savoir les personnes physiques qui agissent en dehors de leur activité professionnelle.

3. Quelles modifications du code des assurances cette mesure entrainerait-elle ? Avec quelles conséquences ?

Cette mesure entraîne la création d’un nouveau chapitre dans le Code des assurances intitulé « L’assurance des risques de cyber-attaques », avec un unique article (L. 12-10-1).

C’est le premier chapitre et le premier article du Code des assurances qui porte sur le sujet, alors que les contrats d’assurance cyber existent en France depuis plusieurs années. C’est une reconnaissance légale de l’existence et de l’importance de ces nouvelles garanties d’assurance qui permettent de renforcer et de préserver les entreprises contre la survenance et les conséquences des attaques informatiques.

4. Quelles mesures prennent les gouvernements européens en réponse aux cyber-rançons ? Certains ont-ils déjà recours à l'indemnisation des cyber-rançons ?

Aucun de nos voisins européens n’interdit le paiement des cyber-rançons, ni l’assurance de ce paiement, mais certains fixent des conditions. L’étude d’impact jointe au projet de loi précise même qu’aucun pays de l’OCDE n’a pris de mesure d’interdiction du paiement des rançons, ni prohibé le principe de leur couverture assurantielle.

🇩🇪 Allemagne : l’assurance des cyber-rançons est expressément autorisée à certaines conditions :

• La garantie d’assurance des cyber-rançons ne peut pas être proposée seule, et doit être contenue au sein d’un contrat plus large contre les risques cyber avec notamment une garantie d’assistance en cas d’attaque afin que le paiement de la rançon n’intervienne qu’en dernier ressort ;
• Obligation de confidentialité sur l’existence du contrat d’assurance et sur le paiement de la rançon (sauf à l’égard des autorités) ;
• Obligation d’information et de collaboration avec les autorités en cas de demande de rançon.
• Obligation d’information et de collaboration avec les autorités en cas de demande de rançon.

🇦🇹 Autriche : les mêmes principes qu’en Allemagne s’appliquent.

🇧🇪 Belgique : il n’existe pas d’interdiction de l’assurance des cyber-rançons, sous réserve du respect des mesures du régime des sanctions internationales et de l’interdiction de financement du terrorisme.

🇪🇸 Espagne : il n’existe pas d’interdiction de l’assurance des cyber-rançons :

• La plupart des assureurs proposent des contrats cyber incluant le remboursement de la rançon sous réserve de l’application des sanctions internationales et du risque de financement du terrorisme.
• La plupart des assureurs proposent des contrats cyber incluant le remboursement de la rançon sous réserve de l’application des sanctions internationales et du risque de financement du terrorisme.

🇬🇷 Grèce : il n’existe pas d’interdiction de l’assurance des cyber-rançons :

• Il s’agit d’un petit marché en cours de développement qui ne fait pas aujourd’hui l’objet de discussions au niveau politique.

🇮🇪 Irlande : il n’existe pas d’interdiction de l’assurance des cyber-rançons :

• Le gouvernement irlandais insiste surtout sur le cyber résilience des acteurs et sur le rôle des assureurs dans le développement de bonnes pratiques pour lutter contre les cyber-attaques et leurs conséquences.

🇮🇹 Italie : il n’existe pas d’interdiction de l’assurance des cyber-rançons, sous réserve du respect des mesures du régime des sanctions internationales et la lutte contre le terrorisme :

• Les assureurs proposent des contrats d’assurance cyber pour les frais de récupération de données, pour les pertes d’exploitations ainsi qu’en cas de versement d’une rançon qui ne peut être réalisé qu’avec l’accord de l’assureur et sous certaines conditions (information préalable des autorités de polices, obligation de confidentialité quant à l’existence du contrat d’assurance, etc.).

🇱🇺 Luxembourg : il n’existe pas d’interdiction de l’assurance des cyber-rançons et aucune recommandation n’a été émise à ce sujet par l’autorité de contrôle luxembourgeoise :

• Les contrats d’assurance kidnapping & rançon existent depuis longtemps et sont également déclinées pour les cyber-attaques ;
• Un débat existe cependant sur le point de savoir si le remboursement de la rançon par l’assureur doit être en soi traité comme nécessitant une déclaration de soupçon dans le cadre des mesures de lutte contre le terrorisme/lutte contre le blanchiment.

🇳🇱 Pays-Bas : le paiement des rançons et la couverture d’assurance ne sont pas interdits, mais découragés par le gouvernement néerlandais.

• Les assureurs qui proposent cette garantie, prévoient clairement que le paiement d'une rançon ne doit intervenir qu'en dernier recours et que la couverture n’est accordée que si l'assuré a pris les mesures préventives exigées, notamment en matière de cybersécurité ;
• Des Députés et le Ministre de la Justice ont récemment soulevé la question de l’assurabilité des rançons.

🇸🇪🇳🇴🇫🇮 Pays scandinaves : il n’existe pas d’interdiction de l’assurance des cyber-rançons, mais le sujet est débattu au regard de l’application des règles de lutte contre le financement du terrorisme et le blanchiment d’argent.

🇵🇹 Portugal : il n’existe pas d’interdiction de l’assurance des cyber-rançons :

• Le remboursement du paiement de la rançon et l’indemnisation des pertes financière consécutives à une cyber-attaque sont en général couverts par le biais des contrats « Fraude ».

🇬🇧 Royaume-Uni : l’assurance des cyber-rançons est licite à l’exception des cas de financement du terrorisme :

• Selon la position officielle du gouvernement, il convient d’éviter au maximum de payer les demandes de rançons ;
• L’association des assureurs britannique défend l’assurabilité du paiement de la rançon au sein des contrats d’assurance cyber mais les assureurs encouragent ou conditionnent la garantie à la mise en place de mesures de prévention pour éviter les cyber-attaques et en limiter les effets.