LOPMI et cyber-attaques : Comment vous assurer que votre entreprise est en conformité ?

72 heures, c’est le temps maximum accordé à votre entreprise pour être en conformité avec la LOPMI en cas de Cyber Attaque !

La LOPMI, la Loi d’Orientation et de Programmation du Ministère de l’Intérieur du 23 avril 2023, impose désormais une obligation légale aux victimes de cyberattaques de déposer plainte dans un délai de 72 heures afin d’être indemnisées par leur assurance. Cette nouvelle disposition est entrée en vigueur le 24 avril 2023.

Les changements apportés par la LOPMI stipulent que toute entreprise ou professionnel victime d’une attaque doit déposer plainte dans un délai de 72 heures à partir du moment où il a eu connaissance de l’incident.

Ce dépôt de plainte est obligatoire pour pouvoir prétendre à une éventuelle indemnisation en vertu d’un contrat d’assurance cyber. Si la plainte n’est pas déposée dans ce délai, l’assuré ne pourra pas être indemnisé par son assureur.

Cette obligation concerne toutes les personnes morales (entreprises, associations, administrations publiques) et les personnes physiques (professions libérales, travailleurs indépendants, etc.) qui subissent une cyberattaque dans le cadre de leurs activités professionnelles. Il est nécessaire que le professionnel ou l’entreprise soit immatriculé en France et assuré par un contrat d’assurance français.

Toutes les formes de cyberattaques sont concernées par la LOPMI, notamment les attaques par logiciels malveillants (y compris les ransomwares), les vols de données, les attaques par déni de service, l’hameçonnage (phishing), les modifications non sollicitées d’un site Internet, les interceptions de communication, l’exploitation de vulnérabilités logicielles, etc.

En cas de cyberattaque, il est essentiel de suivre les consignes suivantes pour réagir efficacement et protéger au mieux son entreprise :

• Éteindre les unités et les accès réseaux, déconnecter les sauvegardes.
• Communiquer les consignes aux collaborateurs.
• Contacter immédiatement son assureur pour limiter les conséquences de l’incident.
• Alerter les forces de l’ordre en appelant le 17 ou via l’application gouvernementale MaSécurité (ceci ne dispense pas du dépôt de plainte obligatoire).
• Porter plainte dans un délai de 72 heures maximum à compter de la prise de connaissance de l’incident.
• Notifier à la CNIL toute violation de données à caractère personnel dans un délai de 72 heures maximum via le site dédié de la CNIL.
• Mettre en place le plan de gestion de crise, y compris les processus de continuité d’activité prévus dans le cadre d’un Plan de continuité d’activité (PCA), s’il existe.
• Déclarer le sinistre à son assureur par courrier.

Il est nécessaire de préparer sa plainte en documentant tous les éléments utiles à l’enquête, en préservant les traces visibles de l’attaque, en listant chronologiquement les actions entreprises et en fournissant toutes les preuves disponibles.

Il est important de noter que les garanties d’assistance (actions d’urgence) du contrat cyber peuvent être mobilisées avant le dépôt de plainte pour aider à identifier la faille de sécurité

Le Groupe Rouge vous propose un contrat cyber qui permet de maîtriser immédiatement les conséquences d’une cyber attaque grâce à l’intervention rapide de ses experts et consultants. Ces derniers prendront les mesures d’urgences nécessaires pour mettre fin aux atteintes aux données et permettre la continuité de votre activité.