Cyber risque : évolution de l’offre d’assurance

Texte principal
Les conséquences dommageables consécutives à des atteintes cyber, accidentelles ou malveillantes ne sont que partiellement couvertes par les contrats traditionnels existants. De nouveaux contrats dédiés spécifiquement aux risques cyber ont donc été progressivement développés.
b6b38fa15be9f4d8740acd491e37c041
En début d’année, la FFA diffusait un rapport rédigé par le Club des Juristes intitulé « Assurer le risque cyber » . Ce rapport fait état de la situation du marché de l’assurance cyber en Europe, de l’évolution de l’offre assurancielle et est conclu par une dizaine de préconisations aux assureurs. Cet article va traiter de l'offre assurancielle.
Les conséquences dommageables consécutives à des atteintes cyber, accidentelles ou malveillantes ne sont que partiellement couvertes par les contrats traditionnels existants. De nouveaux contrats dédiés spécifiquement aux risques cyber ont donc été progressivement développés.

Les risques couverts par les contrats traditionnels :

Les contrats de dommages aux biens :

Avec ce contrat, les dommages physiques aux biens de l’assuré et les pertes d’exploitation consécutives seront couverts quel que soit le fait générateur cyber.
A contrario, si le fait générateur cyber ne crée pas de dommage matériel, les pertes d’exploitation ne peuvent être couvertes par ce contrat.

Les contrats de responsabilité civile :

Par nature, les contrats de responsabilité civile couvrent les dommages corporels, matériels et immatériels causés aux tiers, quel que soit leur fait générateur. Par conséquent, les sinistres de responsabilité civile résultant d’un fait générateur cyber d’origine malveillante ou consécutifs à une erreur humaine seront couverts par ces contrats.
Par exemple, un responsable de traitement de données à caractère personnel mis en cause pour atteinte à la vie privée à la suite d’une violation puis d’une divulgation de données à caractère personnel consécutive à un acte de malveillance ou à un accident pourra être couvert par son contrat de responsabilité civile.

Le contrat de responsabilité des dirigeants :

Le contrat d’assurance responsabilité des dirigeants couvre les frais de comparution, les frais de défense, ainsi que les conséquences pécuniaires encourues par tout dirigeant d’entreprise mis en cause à titre personnel et reconnu responsable envers sa société, ses actionnaires ou ses asso­ciés, ou encore tout tiers en raison du non-respect des lois ou des règlements, de la violation des statuts sociaux, ou encore de toutes fautes de gestion allant, selon les types d’actions engagées à son encontre, de la faute séparable de ses fonctions à la simple inaction fautive.
À la suite d’un événement cyber, la responsabilité des dirigeants pourrait être retenue (pour non prise en compte du risque).
Les contrats d’assurance couvrant la responsabilité des dirigeants peuvent couvrir de tels faits générateurs.

Le contrat de fraude :

var/cnpp/storage/images/media/images/123ref_10659410_l/1518314-1-fre-FR/123REF_10659410_l_small.jpg
Les conséquences dommageables d’une fraude assistée par ordinateur sont couvertes par les contrats Fraude et non pas par les contrats cyber.
À titre d’exemple, les faux ordres de virement par usurpation d’identité (fraude au président) restent du périmètre exclusif des contrats fraude, même s’ils utilisent des nouvelles technologies (faux e-mails, usurpations d’identité numérique…).
Lors de l’introduction d’un logiciel malveillant dans le système informatique, les conséquences dommageables de ce seul fait générateur pourront être couvertes soit par les contrats fraude soit par les contrats cyber.

Les contrats spécifiques aux cyber atteintes :

L’émergence de nouveaux risques liés à l’évolution des nouvelles techno­logies de l’information a nécessité la mise en place de cadres juridiques adaptés : en France, la loi informatique et libertés, la loi de programmation militaire qui ont introduit de nouvelles obligations pour les entreprises, dont l’exécution ou le non-respect induit de nouveaux frais qui ne sont pas pris en charge par les contrats traditionnels (ex. : obligation de notification, enquête administrative).
Ces nouveaux risques ont entraîné l’apparition d’un nouveau type de dommages, comme les atteintes aux données personnelles des tiers et de l’entreprise, ou les pertes d’exploitation consécutives, qui ne sont pas prises en charge par les contrats traditionnels.
Pour faire face à ces nouveaux risques, de nouveaux services ont été développés par les assureurs, en partenariat avec des entreprises liées au conseil et/ou à l’édition de solutions en cybersécurité. Ces services peuvent être regroupés en quatre catégories :
des analyses de risques ;
• les recherches de causes, ou « forensic » ;
• la gestion de crise ;
• la couverture des frais de monitoring bancaires.
Ces nouveaux besoins de garanties et de services ont conduit à la créa­tion d’un nouveau contrat : le contrat d’assurance cyber.
Les contrats cyber sont souvent des contrats multirisques : ils offrent des couvertures de dommages (frais et pertes subis) et de responsabilité civile (dommages immatériels aux tiers), et des services de gestion de crise.

Garanties offertes par ces contrats :

Les frais et pertes subis à la suite d’une intrusion malveillante (volet dommage) :

• les frais d’expertise informatique (forensic après sinistre)
• les frais de gestion de l’incident et de la crise (préservation de l’image)
• les frais de reconstitution des données
• les frais de réparation du système infecté
• les pertes d’exploitation consécutives (sans dommage matériel)

Les frais à la suite d’une violation de données personnelles :

var/cnpp/storage/images/media/images/istock_000039413610_full-small/1673583-1-fre-FR/iStock_000039413610_Full-small_small.jpg
• les frais de notification

Les conséquences de la responsabilité civile :

• les dommages chez des tiers à la suite d’un défaut de sécurité chez l’assuré
• les dommages chez des tiers à la suite d’un défaut de protec­tion des données personnelles, bancaires ou de santé de tiers
• les frais d’avocat
• les frais de défense recours.
Aujourd’hui, le marché mondial de l’assurance cyber représente entre 3 et 3,5 milliards d’USD. Le marché américain représente 85 à 90 % des primes annuelles. Le marché européen ne représente que 5 à 9 % du marché mondial, soit un montant maximal d’environ 255 millions d’euros (300 millions d’USD) de primes. Le volume de primes souscrites en France était d’environ 40 millions d’euros en 2016.
(Source : « Assurer le risque cyber »)
CNPP CYBERSECURITY vous accompagne grâce à ses missions d'audit et conseil, formation et Forensic.