Dans un contexte où les cyberattaques se multiplient fragilisant les entreprises, et ce, quels que soient les secteurs d’activité, le législateur est intervenu pour renforcer la lutte contre la cybercriminalité.

La loi d’orientation et de programmation du ministère de l’Intérieur (dite loi LOPMI), entrée en vigueur le 24 avril 2023, prévoit, notamment le recrutement de policiers et gendarmes spécialisés en cyber, des investissements dans la cyber sécurité, la départementalisation de la police nationale...

Parmi ces dispositions, pour renforcer la prise en charge des victimes et pour pouvoir engager les enquêtes et poursuites nécessaires, la loi stipule que tout professionnel ou entreprise qui subit une attaque dans le cadre de ses activités professionnelles doit déposer plainte dans un délai de 72 heures maximum, à compter du moment où il a identifié que son système informatique et/ou les données informatiques qu’il traite sont compromis.

Ce dépôt de plainte est désormais un corollaire exigé pour la prise en charge de l’indemnisation au titre d’un contrat d’assurance cyber.

S’agissant d’une disposition d’ordre public, celle-ci s’applique à tous les contrats d’assurance y compris pour les contrats en cours, quel que soit le type d’attaque (hameçonnage, vol de données, blocage du système informatique, du site internet, etc.).

 Le dépôt de plainte : 

• se fait auprès d’une brigade de gendarmerie ou d’un commissariat ;
• dans un délai la 72 heures maximum à compter de la prise de connaissance de l’incident c’est-à-dire dès que vous constatez une intrusion dans votre système informatique ou que des données sont endommagées, et ce, même si l’origine de l’incident est antérieure à la manifestation de la malveillance.

Les modalités du dépôt de plainte peuvent être consultées sur Porter plainte | Service-public.fr

 Préparer les éléments constitutifs du dépôt de plainte :

• documenter tout élément utile à l’enquête (preuve de l’attaque, traces informatiques de l’intrusion, etc.). Il vous sera demandé de communiquer les circonstances de l’incident, le montant estimé du préjudice subi, les premières estimations du volume des données divulguées et de l’étendue de leurs éventuelles modifications (ou altérations ?), le nombre d’ordinateurs, de serveurs infectés, etc.

La ligne d‘urgence disponible 24h/24 et 7j/7, mise à votre disposition via notre partenaire dans le cadre de la garantie d’assistance du contrat cyber risques peut vous y aider. En cas d’incident cette garantie peut être déclenchée indépendamment du dépôt de plainte.

Les investigations menées par l’assistance vous permettront d’identifier les circonstances et l’étendue de l’incident. Ces éléments vous seront utiles pour instruire votre plainte dans le délai imparti.

Rappelons que le traitement des données personnelles sur le territoire de l'Union européenne est encadré par le règlement général de protection des données (RGPD), entré en application le 25 mai 2018. Il impose aux entreprises victimes d’un piratage informatique l’obligation de notifier à la CNIL toute violation de données à caractère personnel dans un délai maximal de 72 heures. Il leur impose aussi d'informer individuellement les personnes dont les données personnelles ont été atteintes ou détournées. Le principal objectif de cette réglementation est la protection des personnes.