Depuis le 24 avril 2023, toute personne physique ou morale victime de pertes ou de dommages causés par une cyberattaque dans le cadre de son activité professionnelle devra porter plainte dans un délai de 72 heures à compter de la connaissance de cette atteinte pour pouvoir être indemnisée par son assureur.
Cette disposition ne concerne que les cyberattaques survenues dans le cadre de l’activité professionnelle. Elle s’applique aussi bien aux personnes physiques (travailleurs indépendants, entrepreneurs individuels,…) qu’aux personnes morales (entreprises, associations, administrations publiques…).
Un particulier victime d’une cyberattaque dans un cadre privé n’est pas obligé de déposer plainte pour bénéficier d’une couverture assurantielle dès lors qu’une telle couverture est prévue dans son contrat d’assurance.
Cette nouvelle disposition s’applique immédiatement à tous les contrats d’assurance en cours compte tenu de ses objectifs de lutte contre la cybercriminalité.
Ce délai débute à partir de la découverte par la victime des pertes et dommages occasionnés par la cyberattaque et non à partir de la date de la cyberattaque elle-même. En d’autres termes, il est possible de déposer plainte si la victime a eu connaissance récemment d’une attaque cyber qui, elle, est ancienne.
La condition du dépôt de plainte dans les 72 heures imparties n’est toutefois pas suffisante pour être indemnisé. Il faut en effet au préalable que le contrat d’assurance de la victime prévoit une couverture contre le risque cyber. Il est conseillé de se rapprocher de son assureur dans les plus brefs délais.
