Les multinationales françaises doivent-elles signaler les violations à l’étranger ? A qui ? Quand ?

Une loi française obligeant les entreprises à signaler les incidents cybernétiques aux autorités dans les 72 heures, sous peine de perdre leur droit au remboursement de l’assurance cybernétique, laisse les praticiens perplexes.

La nouvelle loi, qui entrera en vigueur le 24 avril, couvrira une série de cyberincidents, tels que l’accès illégal aux systèmes d’information et la suppression, le vol ou la modification de données. La loi autorise aussi explicitement les cyber-assureurs à couvrir les paiements effectués à la suite d’un ransomware.

La théorie qui sous-tend cette loi est que la menace de perdre sa couverture d’assurance incitera davantage d’entreprises à divulguer les cyberincidents, ce qui permettra aux services répressifs et aux décideurs politiques de recueillir davantage de données et de les utiliser pour lutter contre les cybermenaces.

La question que beaucoup se posent est la suivante : À qui rendre compte ? En France, deux agences fédérales traitent les cyber-incidents : l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Commission nationale de l’informatique et des libertés (CNIL), un organisme indépendant chargé de superviser les lois nationales et européennes sur la protection des données.

La loi demande aux entreprises de divulguer la violation aux « autorités compétentes » et de déposer une étude d’impact auprès des autorités policières et judiciaires, selon l’analyse du cabinet d’avocats Orrick.

« La loi ne précise pas non plus s’il y aura un mécanisme spécifique pour déposer ces plaintes », écrivent les avocats d’Orrick. « Toutefois, la Direction générale de la sécurité intérieure française indique sur son site Internet que les cyberattaques peuvent être signalées en ligne via le site du ministère de l’Intérieur, qui dispose d’un portail général de plaintes pénales. » Ni l’ANSSI ni la CNIL n’ont répondu à la demande de clarification de l’Information Security Media Group.

Une autre question se pose : Qu’est-ce qui est signalé dans les 72 heures ? « S’agit-il de 72 heures après que vos fichiers de log ont montré des signes d’accès non autorisé ou 72 heures après que votre personnel a pu déterminer avec certitude qu’il s’agissait bien d’un incident de sécurité ? », écrit Pieter Arntz, chercheur en intelligence sur les logiciels malveillants à la société de sécurité Malwarebytes.

Selon les experts, ce sont les entreprises internationales ayant leur siège en France qui seront les plus incertaines, car la loi ajoutera une couche supplémentaire de conformité pour les organisations dont les serveurs se trouvent dans plusieurs juridictions.

« La question qui se posera à elles, par exemple, sera la suivante : Un sinistre dans la filiale malaisienne d’un groupe français, couvert par la police locale malaisienne, doit-il être déclaré aux autorités françaises en vertu de cette loi ? », déclare Jean Bayon de La Tour, directeur général et responsable européen de la cybercriminalité chez Marsh McLennan.

Elle ajoute que la grande majorité des petites et moyennes entreprises ont généralement tendance à ne pas souscrire d’assurance cyber, ce qui signifie que la loi ne les incitera pas à signaler les violations de données au gouvernement français.

https://www.bankinfosecurity.com/french-cyber-insurance-law-provokes-uncertainty-a-21394

https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000047048152/2023-02-09