La rentrée 2022 est marquée par les préoccupations croissantes portant sur l’assurabilité du risque cyber.

 

Le 7 septembre, la Direction générale du Trésor a publié son rapport sur « Le développement de l'assurance du risque cyber » et le 23 septembre, l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) [1] a rendu public ses constats et recommandations sur la couverture des risques cyber.

 

Ces publications interviennent alors que le projet de loi d’orientation et de programmation du ministère de l’intérieur prévoit l’introduction, dans le code des assurances, d’un chapitre X consacré à« l’assurance des risques de cyberattaques »[2].

  

I/ Les risques encourus par les sociétés et leurs dirigeants

 

Le risque cyber présente aujourd'hui un danger certain pour les entreprises et leurs dirigeants puisque si une attaque cyber cause directement préjudice à l'entreprise, elle peut en outre conduire à engager la responsabilité de la société et/ou celle de ses dirigeants.

 

Le vol de données lors d’une attaque cyber peut tout d’abord révéler un défaut de conformité de l’entreprise avec la règlementation des traitements de données. Un tel constat peut exposer la société à des sanctions importantes comme des amendes administratives pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaire annuel mondial total de l'exercice précédent [3].

 

Ces sanctions administratives peuvent se cumuler à des sanctions pénales si, par exemple, la société n'a pas procédé à la notification de la violation de données à la CNIL dans les 72 heures de sa survenance [4].

 

Des actions en réparation peuvent également être introduites par les personnes dont la société détenait les données personnelles dérobées [5].

 

Plus encore, une attaque cyber est de nature à engager la responsabilité des dirigeants de la société qui en est victime et conduire à leur révocation pour faute de gestion.

 

En effet, compte tenu de l'augmentation du risque cyber et de l'incitation croissante des autorités publiques comme l’ANSSI [6], à prévenir ce risque, le fait pour un dirigeant de ne pas en avoir organisé la prévention par l'adoption, par exemple, d'une assurance spécifique, pourrait s’analyser en une faute de gestion.

 

Ainsi, il apparaît désormais indispensable aux entreprises de penser leur défense cyber en évaluant leurs risques et en envisageant la souscription d’une assurance adaptée à ces risques.

  

II/ Les perspectives assurantielles

 

Bien que l’assurabilité du risque cyber fasse l’objet d’importants débats [7], des solutions assurantielles existent et se dessinent.

 

Le risque cyber bénéficie d'ores et déjà d'une couverture silencieuse pouvant résulter des termes et conditions de polices d’assurance qui ne sont pas consacrées à ce risque [8].

 

C’est par exemple le cas des polices fraude, qui couvre le détournement d'actifs par voie électronique ou de l’assurance responsabilité civile qui peut couvrir la responsabilité encourue par la société dépositaire de données sensibles.

 

Néanmoins, ces couvertures silencieuses ne sauraient être satisfaisantes pour les entreprises puisque, n'étant pas spécifiques aux risques cyber, l'imprécision de leurs termes expose les assurés à de grandes incertitudes tant sur l'effectivité que sur l'ampleur de la couverture du risque cyber.

 

Seule la souscription d’assurances spécifiques à ce type de risque permettrait donc de le cerner.  

 

Or, le marché de l’assurance du risque cyber n’est que très peu développé en France et ce malgré l’importance des attaques cyber puisque 54% des entreprises françaises déclarent avoir été victime d’une attaque en 2021.

 

En effet, le marché de l’assurance ne représente que 219 M €, soit 0,35% du chiffre d’affaires des assurances de biens et responsabilité [9].

 

Dans ce contexte, les assureurs sont invités tant par la DGT, que par l’AEAPP, à clarifier la rédaction des contrats d'assurance traditionnels afin de limiter les couvertures silencieuses et développer les assurances spécialisées.

 

Pour ces dernières, la DGT propose des lignes directrices rejoignant les intentions du législateur.

 

Ainsi, la DGT recommande l'adoption d'un principe d'inassurabilité des sanctions administratives qui seraient prononcées à l’encontre d’une entreprise victime d'une cyber attaque.

 

En outre, la DGT recommande le conditionnement du remboursement, par l’assureur, du montant de la cyber-rançon payée par la société assurée, par le dépôt d’une plainte dans les 48 heures suivant le paiement [10].

 

Dans cette dernière hypothèse néanmoins, la DGT comme le projet de loi ne prévoit pas d'obligation pour les assureurs de proposer une telle garantie. Ces derniers demeurent donc libres de l’intégrer à leur offre d’assurance.

 

Compte tenu de l’importance du risque cyber aujourd’hui et afin de limiter les risques de responsabilité en résultant pour les société et leurs dirigeants, ces derniers doivent penser leur défense cyber, évaluer les risques auxquels ils sont exposés et se rapprocher de leurs assureurs pour définir les termes d’une police adaptées à la couverture de ces risques.

 


[1] EIOPA, 23 septembre2022, Supervisory Statement on management of non-affirmative cyber underwriting exposures

[2] Projet de loi n°5185 d’orientation et de programmation du ministère de l’intérieur

[3] Règlement (UE) 2016/679, article 83

[4] Règlement (UE) 2016/679, article 33, 34

[5] Règlement (UE) 2016/679, article 82

[6] Agence national de la sécurité des systèmes informatiques, La méthode EBIOS risk managment, le guide, les fiches pratiques.

[7] ANSSI, Alerte -Campagne de rançongiciel ; ANSSI, Etat de la menace rançongiciel à l’encontre des entreprises et des institutions, 1er septembre 2021 p.2, 18, 19

[8] EIOPA, 23 septembre2022, Supervisory Statement on management of non-affirmative cyber underwriting exposures

[9] DGT, Le développement de l’assurance du risque cyber », 7 septembre 2022

[10] Projet de loi n°5185 d’orientation et de programmation du ministère de l’intérieur