Loi sur la sécurité de l’information : obligation de signaler les cyberattaques
Le secteur de l’assurance relève de la surveillance de l'État et est déjà tenu de signaler les cyberattaques. L’inclusion de cette obligation dans la loi sur la sécurité de l’information ne doit pas entraîner une triple normalisation confuse des obligations de déclaration.
La révision de la loi sur la sécurité de l’information LSI prévoit d’assujettir les exploitants d’infrastructures critiques à une obligation de signaler les cyberattaques. Le but de cette nouvelle obligation de déclaration consiste dans l’identification précoce de nouvelles méthodes d’attaque afin de prévenir les personnes potentiellement menacées.
Avec la numérisation croissante, l'État et les acteurs économiques sont de plus en plus souvent confrontés à des cyberattaques. L'ASA est donc favorable à l’établissement d'un système d'alerte précoce, auquel les obligations de déclaration peuvent contribuer. Selon ce principe, elle a d’ailleurs également soutenu les obligations de déclaration prévues par le droit de la surveillance des marchés financiers et par la révision totale de la loi sur la protection des données. En sa qualité de fournisseur de cyberassurances, le secteur est lui-même intéressé par de tels signalements de cyberincidents afin de mieux comprendre les cyberrisques et de les calculer au plus juste.
Toutefois, l'implication des assureurs dans la LSI ne doit pas se traduire par une triple normalisation des obligations de déclaration, laquelle ne manquerait pas de semer la confusion. En conséquence, les compagnies d’assurances doivent pouvoir honorer cette obligation de déclarer les cyberattaques à tous les offices concernés par le biais d'une seule déclaration (guichet unique pour toutes les obligations de déclaration).
Par ailleurs, l'ASA ne voit pas l'intérêt d'assujettir cette obligation de déclaration selon la LSI à des dispositions pénales et rejette ces dernières. Pour les entreprises concernées, une cyberattaque constitue déjà une situation extrêmement difficile, qui ne saurait être inutilement alourdie par une menace de sanction.