Les événements redoutés sont l’atteinte au système, au sens de la perturbation de son fonctionnement, et/ou l’atteinte aux données qu’il contient. Ces événements peuvent avoir différentes origines, avec une grande distinction entre la malveillance et la négligence. Première interrogation, dès lors : les polices cyber interviennent-elles dans les deux hypothèses ?
En outre, la malveillance peut être interne ou externe à l’entreprise. Là encore, on peut se demander si l’assureur prend en charge les frais engagés par l’entreprise dans les deux cas de figure. Enfin, la malveillance recouvre divers comportements, actes et procédés : intrusion non autorisée, virus, déni de service, etc. Toutes ces formes de malveillance sont-elles appréhendées par les contrats dédiés ?
Cette problématique des causes ou faits générateurs couverts s’est déjà ressentie dans le volet responsabilités. Il est arrivé, en effet, que l’assureur précise que telle réclamation n’est couverte que si elle procède d’une négligence de l’assuré ou à l’inverse qu’il y a prise en charge « y compris » si l’origine de l’atteinte est malveillante. Toutefois, les questionnements sont limités par la nécessité pour les tiers de démontrer une faute de l’assuré pour engager sa responsabilité civile. Dès lors, en cas d’atteinte aux données personnelles, par exemple, peu importe son origine malveillante ou non, la responsabilité de l’entreprise sera engagée et donc couverte si la victime démontre que l’entreprise a violé les obligations mises à sa charge par la loi Informatique et Libertés.
Dans le volet dommages, en revanche, la question est plus épineuse. Notre étude des offres cyber a révélé un manque de clarté quant aux causes de dommages couvertes. Seul l’un des contrats étudiés stipule expressément « l’assureur indemnisera les frais et dépenses garantis consécutifs à » et donne une liste des faits générateurs couverts. Pour les autres polices, le croisement des définitions et des exclusions permet de déduire, pour tel ou tel poste de frais garantis, si la prise en charge est générale ou limitée à certaines hypothèses. Une réponse générale est donc difficile à donner. La prise en compte des différentes causes d’atteintes aux systèmes d’information dépend de l’assureur, et peut varier selon chaque garantie. Dans certains cas, la question n’est même pas abordée ou très vaguement, ce qui donne lieu à plusieurs interprétations possibles. Si le doute profite en principe à l’assuré selon la jurisprudence, la vigilance reste de mise.
Néanmoins, on peut dire que les dommages causés par un virus informatique ou un acte de malveillance, interne ou externe, sont en principe couverts. Les cas d’erreur ou de négligence de la société assurée et de ses préposés sont également visés, mais pas pour tous les postes de garantie. De plus, certains assureurs couvrent les dommages résultant pour l’entreprise d’une erreur ou encore d’une carence de prestataires de services informatiques. Là aussi, ce n’est pas le cas pour tous les postes de garanties. En outre, il faudra prêter attention à la définition des prestataires retenue par l’assureur. Certaines polices ne couvrent d’ailleurs que les dommages causés par des prestataires désignés aux Conditions particulières. La couverture de cette cause de dommage semble essentielle pour les entreprises qui recourent à l’externalisation et notamment au cloud computing.
Enfin, l’une des offres étudiées prend en charge les dommages subis par l’assuré suite à une panne des installations informatiques, de courant, de réseau ou encore des installations de télécommunication ainsi que les événements naturels. C’est un plus, c’est certain. Toutefois, le fais que de tels événements ne soient pas envisagés par les autres polices cyber ne nous choque pas car elles ont avant tout pour objet la couverture des conséquences financières résultant des dommages immatériels que sont les atteintes aux systèmes d’information.
Notons par ailleurs que les assureurs excluent souvent les dommages imputables à des erreurs de programmation. De même, les cas de fraudes, au sens du détournement d’argent, sont en principe exclus. Dès lors, si l’entreprise est victime d’une fraude informatique, elle ne pourra être indemnisée de la perte d’actifs qui en résulte par le biais de ce contrat.
Après ces précisions sur les faits générateurs des atteintes aux systèmes et aux données, voyons à présent quels sont concrètement les frais couverts.
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance