Une loi du 24 janvier prévoit qu’une entreprise victime d’une cyberattaque ne pourra être indemnisée par son assureur qu’à la suite d’un dépôt de plainte (loi 2023-22 du 24 janvier 2023, articles 5 et 6).
Mieux sanctionner les auteurs d’attaques informatiques
Les piratages et actions malveillantes sur les outils informatiques peuvent lourdement affecter la poursuite de l’activité des entreprises qui sont de plus en plus poussées à couvrir ces risques par la souscription d’une police d’assurance.
L’article 5 de la loi n°2023-22 du 24 janvier 2023, d’orientation et de programmation du ministère de l’Intérieur précise les modalités requises pour l’indemnisation des entreprises victimes de cyberattaque. Le texte prévoit que le versement de l’indemnité par l’assurance sera conditionné au dépôt de plainte auprès des autorités compétentes par la victime, dans les 72 heures suivant la connaissance d’une intrusion sur ses services ou ses outils informatiques.
La loi, qui entrera en vigueur 3 mois après sa promulgation, ne s’appliquera qu’aux sociétés et aux personnes physiques dans le cadre de leur activité professionnelle.
Des sanctions plus sévères pour les hackers
L’article 6 de cette loi modifie également le Code pénal en augmentant les amendes et peines de prison maximales encourues par les auteurs de cyberattaques. Ainsi, les hackers accédant frauduleusement à un système de traitement automatisé de données encourent désormais une peine de prison de 3 ans au lieu de 2 ans. L’amende est portée à 100.000 € contre 60.000 € auparavant.
Lorsque l’infraction porte sur la suppression ou la modification de données contenues dans le système ou si le système a été altéré, l’amende sera désormais de 150.000 € (contre 100.000 €) et la peine de prison de 5 ans (au lieu de 3 ans). Enfin, si ces attaques ont visé un système mis en œuvre par l’État, l’amende grimpe à 300.000 € (contre 150.000 €) et la peine de prison à 7 ans (au lieu de 5 ans).
Source : Loi 2023-22 du 24 janvier 2023