A partir du 25 avril 2023, les entreprises victimes d’une cyberattaque devront déposer plainte dans un délai de 72 heures pour obtenir une indemnisation de la part de leur assureur. Cette obligation légale s’impose aux personnes morales telles que les sociétés et les associations, ainsi qu’aux personnes physiques dans le cadre de leur activité professionnelle.
Selon le dernier baromètre du Club des experts de la sécurité de l’information et du numérique (Cesin), 45% des entreprises interrogées ont déclaré avoir subi au moins une cyberattaque réussie en 2022, principalement sous la forme de tentatives de phishing*. Bien que ce pourcentage ait diminué par rapport aux années précédentes, les cyberattaques réussies continuent d’être très fréquentes et peuvent causer des dommages considérables, perturbant le fonctionnement normal de l’entreprise.
Ainsi, de nombreuses entreprises ont souscrit une assurance pour se prémunir de ce risque. Toutefois, pour être indemnisées par leur assureur en cas de cyberattaque, elles devront impérativement porter plainte dans les 72 heures suivant la découverte de l’incident. Cette nouvelle obligation vise à encourager les entreprises à signaler rapidement les incidents de sécurité et à améliorer la détection des cyberattaques.
En cas de non-respect de cette obligation, l’entreprise risque de ne pas obtenir d’indemnisation de la part de son assureur. Cette disposition s’inscrit dans un contexte de renforcement de la législation européenne sur la protection des données, avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018. Le RGPD impose aux entreprises de signaler les violations de données personnelles dans un délai de 72 heures aux autorités compétentes.
*Le phishing (ou hameçonnage) est une technique frauduleuse utilisée par des cybercriminels pour tromper les utilisateurs d’Internet et leur soutirer des informations confidentielles telles que des identifiants de connexion, des mots de passe, des numéros de carte de crédit, etc.
Cette technique consiste à envoyer des emails, des SMS ou des messages sur les réseaux sociaux, qui semblent provenir d’une entreprise ou d’un organisme de confiance (banque, administration, etc.), en utilisant des logos et des mises en page similaires à ceux de la marque en question. Ces messages incitent les utilisateurs à cliquer sur un lien qui les redirige vers un faux site web, également très similaire au site officiel. Sur ce faux site, les utilisateurs sont alors invités à saisir leurs données personnelles, qui sont ensuite collectées par les pirates informatiques.
Le phishing est l’une des techniques les plus couramment utilisées par les cybercriminels pour voler des informations sensibles. Les victimes peuvent ainsi se retrouver exposées à des fraudes, des usurpations d’identité ou à des extorsions de fonds. Il est donc important de rester vigilant et de ne jamais divulguer ses informations confidentielles à des tiers, sauf si l’on est sûr de l’identité de l’interlocuteur.