Assurance Cyber : pratique assurantielle et pénale


Droit des assurances

Par Jérôme Goy et Armand Feste-Guidon

L’assurance du risque cyber est devenue le cinquième contrat d’assurance que les assureurs commercialisent auprès des entreprises  aux côtés des contrats de responsabilité civile, de responsabilité des dirigeants, de dommages aux biens et de flottes automobile. En effet les risques cyber se sont multipliés dans la vie courante des entreprises ; les cyberattaques ont été classées au cinquième rang des risques les plus importants en 2020, selon un rapport de World Economic Forum, et la cybercriminalité a augmenté de 600 % depuis la pandémie de COVID-19.  Face à cela les compagnies d’assurance anglo-saxonnes puis continentales ont décidé d’isoler la garantie de ce risque dans des contrats d’assurances spécifiques. Jusqu’à il y a peu les conséquences des risques cyber étaient couvertes dans les contrats d’assurance de responsabilité civile d’une part et dans les contrats d’assurance de dommages aux biens d’autre part. Le risque est de nature mixte puisqu’il atteint les biens des entreprises et crée pour elles une cause d’engagement de leur responsabilité vis-à-vis des tiers.

La particularité de ces contrats a été renforcée par la loi LOPMI de 2023 qui conditionne l’indemnisation par l’assureur au dépôt d’une plainte de l’assuré dans un délai de 72h à partir de la connaissance de la cyberattaque. La création de cette obligation a donné lieu à de vifs débats entre les experts en cybersécurité et les députés. Le risque est que les compagnies d’assurance fassent pression sur les assurés pour payer la rançon plutôt que de payer les coûts de remédiation, faisant des entreprises françaises de bons payeurs attractifs pour les cybercriminels. Les entreprises elles-mêmes préfèrent souvent payer une rançon que de voir leur réputation entachée. Cette nouvelle exigence permet d’abord de donner une date à la cyberattaque vis-à-vis des compagnies d’assurance et ensuite d’inciter les victimes à porter plainte rapidement.

  1. Les risques couverts par l’assurance cyber

Généralement, l’assurance cyber comprend trois types de garanties :

Peuvent s’ajouter des garanties plus spécifiques comme la prise en charge de la négociation de la rançon ou même le paiement de la rançon.

Néanmoins, les garanties assurantielles en matière cyber sont accompagnées d’obligations en matière de sécurisation de votre système d’information.

Ainsi, le contrat d’assurance cyber peut exiger, à défaut de prise en charge, la mise en œuvre de mesures de cybersécurité au sein de votre entreprise.

De même, l’assurance peut conditionner votre adhésion au contrat d’assurance cyber à un audit de cybersécurité.

  1. Audit de votre contrat d’assurance cyber : Comment savoir si on est bien couvert ?

Il essentiel de faire un audit de l’ensemble des contrats d’assurance souscrits pour votre entreprise afin de parfaitement connaître le degré de protection en cas d’incident cyber.

En effet, les contrats existants peuvent vous assurer contre les risques cyber tels que la violation de données personnelles ou encore l’inexécution contractuelle liée à l’indisponibilité des données ou des systèmes d’information.

Une fois qu’un état des lieux des garanties cyber existantes est établi, il est essentiel de compléter la protection assurantielle de votre activité par un contrat d’assurance cyber spécifique et adapté.

Dans le cadre cette démarche, il est à noter que les contrats d’assurance cyber peuvent stipuler des exclusions spécifiques concernant plusieurs points critiques tels l’ingénierie sociale, le piratage provenant d’un autre Etat ou des incidents cybers causés intentionnellement au sein de l’entreprise.

Ainsi, il faut déterminer si les risques cyber couverts par le contrat d’assurance répondent aux besoins spécifiques de votre entreprise et dès lors, avoir parfaitement connaissance des exclusions de prise en charge assurantielle.

Enfin, s’il s’avère que la couverture actuelle de votre activité est partielle ou insuffisante, il faudra envisager de renégocier les termes des contrats existants pour inclure une protection plus étendue contre les risques cyber.

  1. Le dépôt de plainte dans les 72 heures pour pouvoir bénéficier de sa protection assurantielle

Le dépôt de plainte auprès des autorités compétentes, telles que la police, la gendarmerie ou directement auprès du procureur de la République, doit se faire dans un délai de 72 heures à partir du moment où la victime prend connaissance de l’atteinte à son système d’information (STAD).

Le délai de 72 heures pose deux difficultés.

Tout d’abord, ce délai est très court, car les incidents de cybersécurité sont souvent complexes et nécessitent des investigations approfondies pour en déterminer la nature, l’ampleur et les conséquences.

Enfin, le point de départ du délai de dépôt de plainte est donc susceptible de donner lieu à interprétation. Si l’assuré dispose d’informations ne permettant pas de confirmer avec certitude une intrusion dans son système ou une extraction de données, mais soupçonne raisonnablement une atteinte, doit-il déposer plainte à titre préventif pour éviter un refus d’indemnisation de la part de son assureur, quitte à déposer plainte pour des incidents mineurs et noyer les autorités sous d’innombrables plaintes ?

Etant une cause d’exclusion de prise en charge du sinistre, le délai de 72 heures pour déposer plainte va nécessairement faire l’objet de débats judiciaires.

  1. Le dépôt de plainte dans les 72 heures : Que faire en pratique ?

En cas de découverte d’un incident cyber, il est recommandé de procéder à un dépôt de plainte peu détaillé auprès des autorités compétentes afin de respecter le délai de 72 heures imposé par le code des assurances.

Dans un second temps, une fois que le périmètre de l’incident cyber est connu, une plainte détaillée peut être directement déposée au procureur de la République.

En cas d’atteinte à votre système d’information, la plainte pourra être déposée directement au parquet J3, spécialisé en matière de cybercriminalité.

Le contenu de la plainte devra être parfaitement articulé avec les dispositions de votre couverture assurantielle cyber, ce qui présume une parfaite connaissance de ce dernier.

Ainsi, dans la mesure où un incident cyber peut avoir des conséquences importantes pour votre entreprise, il est conseillé de se rapprocher d’un tandem d’avocats en droit des assurances et en droit pénal pour maîtriser votre risque cyber.

  1. Conclusion


Au préalable

Une entreprise qui souhaite se protéger des cyberattaques doit vérifier en premier lieu s’il existe une police d’assurance cyber spécifique ou une extension d’un contrat préexistant à ce sujet. Si une telle police existe, il est nécessaire de vérifier la définition du « périmètre informatique », du terme « tiers » et la définition exacte de l’activité de l’entreprise assurée, des sous-traitants et préposés, des dépenses et estimation de plafond de garantie.


Pour bénéficier d’une couverture efficace

Dans un deuxième temps il est nécessaire de prêter attention à certaines garanties spécifiques.

Il est préférable d’introduire dans le contrat une clause « rançongiciel » pour garantir la cyber extorsion et l’échange des données personnelles de l’entreprise victime (altération, destruction ou communication).

La garantie dommages immatériels doit comprendre le dommage au système informatique, aux données personnelles de l’entreprise et aux tiers, le préjudice économique (perte d’exploitation), l’atteinte aux droits (vie privée, droit de la propriété intellectuelle).

L’entreprise doit bien comprendre la portée de la garantie des dommages matériels pour savoir ce qui en fait partie (panne, bris de machine, incendie notamment).

La garantie « fraude informatique » couvre les pertes financières correspondant à la valeur des fonds, titres, ou actifs financiers suite à un accès ou une utilisation non autorisée des systèmes informatiques de la société assurée.

La garantie « Fraude téléphonique » prend en charge le coût de la surconsommation téléphonique suite à un accès et/ou une utilisation non autorisée des systèmes téléphoniques de la société assurée.

Concernant la garantie des pertes d’exploitation de l’entreprise, il est nécessaire de prévoir un début de garantie à partir de l’interruption des activités de l’entreprise assurée, et non à partir du jour de la déclaration du sinistre.

Il est aussi crucial de prendre en compte l’éventualité d’une enquête ou d’une sanction par une autorité administrative dans les risques couverts par le contrat.


Sans oublier la couverture de la responsabilité civile

Enfin, une entreprise doit s’assurer que son contrat d’assurance couvre également sa responsabilité civile en cas de cyberattaque. Une police d’assurance cyber efficace doit inclure une couverture des frais liés aux actions en justice intentées ou subies par le souscripteur, ainsi qu’une garantie de responsabilité civile en cas de divulgation de données de tiers ou d’erreur humaine.


En ajoutant éventuellement d’autres couvertures utiles

L’entreprise peut également négocier son contrat d’assurance pour inclure une couverture des frais d’atténuation du risque, tels que les frais raisonnables et nécessaires à la réclamation contre l’assuré, ainsi que des frais liés à la menace d’extorsion, incluant les frais de défense, les coûts de recours à un spécialiste, les frais d’enquête et d’analyse forensique, et les frais d’emprunt bancaire.

 

Jérôme Goy  /  Armand Feste-Guidon