Le secteur de l’immobilier est confronté à une menace croissante : les cyberattaques. Les propriétaires d’immeubles commerciaux, les investisseurs immobiliers et les gestionnaires immobiliers sont désormais contraints d’intégrer les coûts liés à l’assurance contre les attaques numériques et les outils de défense cybernétique dans leur budget. Les conséquences de ces attaques informatiques sont loin d’être anodines, allant de la compromission de données au rançonnement, en passant par l’interruption des activités.
Une nouvelle législation en réponse aux attaques
Le 24 avril 2023, la législation française a franchi une étape importante avec l’entrée en vigueur de l’article L. 12-10-1 du Code des assurances, résultant de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’Intérieur. Le texte oblige désormais les entreprises victimes d’attaques informatiques malveillantes à déposer une plainte dans un délai de 72 heures après avoir pris connaissance de l’incident. En cas de non-respect de ce délai, elles perdent leur droit à être indemnisées au titre de leur contrat d’assurance.
L’objectif de ces nouvelles dispositions est de renforcer la collaboration entre les entreprises et les autorités policières et judiciaires dans la lutte contre la cybercriminalité. Le dépôt de plainte peut être effectué auprès du procureur de la République, d’un commissariat ou d’une gendarmerie. Cependant, cette obligation ne concerne que les personnes morales et les personnes physiques agissant dans un cadre professionnel.
Sécurisation et prévention
La prévention est indispensable pour limiter les risques cyber. Les entreprises sont invitées à travailler en étroite collaboration avec leurs prestataires informatiques habituels ou des experts en cybersécurité pour identifier les risques potentiels et mettre en place des politiques de sécurité adaptées.
La vérification périodique de la sécurité informatique, en coordination avec les prestataires, est cruciale pour minimiser les risques. Les entreprises peuvent utiliser des méthodes telles qu’Ebios ou Mehari pour les identifier et prendre les mesures qui s’imposent. En outre, la création d’un plan de continuité d’activité, en fonction de la taille de l’entreprise, est fortement recommandée. Ce document définit les procédures et actions à suivre en cas de crise majeure, contribuant ainsi à réduire l’impact des cyberattaques.
Responsabilité et assurance
Face à la montée des risques cyber, il est essentiel de réexaminer les contrats d’assurance existants. Certains contrats d’assurance de dommages aux biens ou de responsabilité civile peuvent mentionner de manière plus ou moins explicite la couverture des risques cyber. Cependant, il est recommandé de clarifier les termes du contrat avec l’assureur ou le courtier, surtout si le contrat n’inclut pas explicitement la cyberassurance.
Cette garantie est dédiée aux risques cyber, couvrant généralement trois domaines : la cyber-responsabilité, les cyberdommages et l’assistance à la gestion de crise. Elle inclut la prise en charge des frais de défense, des dommages-intérêts réclamés par des tiers, des sanctions financières, les pertes d’exploitation et les coûts liés à la gestion de crise.