La loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’Intérieur avait déjà mis en place des mesures visant à lutter contre la cybercriminalité. L’une des mesures les plus débattues de cette loi concernait les conditions de l’indemnisation des dommages – dont la rançon – subis par un assuré en cas de cyberattaque. Depuis le 24 avril 2023, l’indemnisation de ces dommages par l’assureur est désormais subordonnée au dépôt d’une plainte auprès des autorités compétentes au plus tard 72 heures après la connaissance de l’atteinte1.

Le sujet « cyber » est également au cœur du projet de loi n° 1033 relatif à la programmation militaire pour les années 2024 à 2030, lequel entend renforcer de manière considérable les moyens de la défense nationale. Outre l’augmentation significative du budget des armées, le projet de LPM prévoit plusieurs mesures notables permettant à l’Agence nationale de la sécurité des systèmes d’information (Anssi) de remédier plus efficacement aux effets des cyberattaques et d’alerter plus efficacement les victimes des incidents ou des menaces pesant sur leurs systèmes d’information.

1. Editeurs de logiciel : obligation de notification des incidents de sécurité

En cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information susceptible d’affecter un de leurs produits, les éditeurs de logiciel devront notifier cet incident à l’Anssi et procéder à l’analyse de ses causes et conséquences2.

Cette obligation s’applique (i)...