L’intitulé des garanties et la structure du contrat sont variables d’un assureur à l’autre. A titre d’exemple, une distinction se retrouve dans plusieurs polices cyber entre les frais relatifs à une atteinte aux données et ceux relatifs à un « incident de sécurité » ou encore d’une « atteinte à la sécurité du réseau ». L’atteinte aux données est définie comme toute divulgation ou perte de données personnelles ou commerciales, d’origine accidentelle ou malveillante, tandis que l’incident de sécurité n’est pas défini uniformément mais semble procéder d’une origine malveillante et peut causer l’indisponibilité totale ou partielle du système d’information ou une atteinte aux données.
Ces deux notions se recoupent manifestement sur l’atteinte aux données, aussi nous n’en saisissons pas bien l’intérêt. D’autant qu’au final les garanties proposées sont les mêmes que celles d’un contrat ne faisant pas la distinction. De notre point de vue, il est plus cohérent de distinguer les atteintes aux données des atteintes au fonctionnement du système, en terme opérationnel, encore que certaines dépenses sont susceptibles d’être engagées par l’entreprise dans les deux hypothèses.
Quoi qu’il en soit, nous nous attacherons au contenu des garanties plus qu’à leur dénomination, c’est-à-dire aux différents types de frais et pertes pouvant être garantis dans un contrat cyber. On trouve ainsi la garantie des frais de reconstitution des données (§1) et de divers autres frais susceptibles d’être engagés par l’entreprise pour faire face à l’incident (§2). Par ailleurs, la législation liée à la protection des données personnelles génère plusieurs dépenses qui sont en tout ou partie prises en charge par les polices cyber (§3). Notons que ces garanties figurent parfois dans le volet responsabilité. Mais s’agissant sans aucun doute de garanties de dommages, nous les traitons ici. Certaines offres couvrent en outre les pertes d’exploitation que peuvent subir les entreprises suite à une atteinte au système d’information (§4). Enfin, des garanties contre l’extorsion peuvent également être proposées (§5).
§1 : Frais de reconstitution des données
La plupart des polices cyber prennent en charge les frais de reconstitution des données atteintes. Les assureurs visent peu ou prou les mêmes dépenses : « frais raisonnables et nécessaires engagés par l’assuré afin de remplacer, restaurer ou ressaisir des données à partir d’enregistrements écrits ou de données partiellement ou entièrement sauvegardées ». Cette garantie est donc subordonnée en principe à l’existence de sauvegardes elles-mêmes numériques. Là aussi, les causes des atteintes ont leur importance puisque certains assureurs ne couvrent ces frais que si l’atteinte a une origine malveillante. Dans ce cas, si un salarié provoque par négligence une perte de données, la police cyber ne prendra pas en charge les dépenses engagées pour les reconstituer.
Par ailleurs, certaines polices sont plus favorables que d’autres s’agissant de la définition des données. En effet, si la plupart des assureurs ne visent que les informations stockées sous forme numérique, certains y intègrent la notion de logiciel. Dans ce dernier cas, la garantie de reconstitution des données prend également en compte les frais engagés par l’assuré pour se procurer à nouveau des logiciels perdus, qu’ils soient standards (logiciels de base tels que système d’exploitation) ou spécifiques (programmes applicatifs tels que des progiciels).
Et cette appréhension des données au sens large constitue un réel atout, au vu du coût élevé de certains logiciels.
Mis à part les frais de reconstitution des données, d’autres dépenses engagées par l’entreprise dans le but de gérer l’incident sont susceptibles d’être prises en charge par les polices cyber.
§2 : Frais divers
Divers frais peuvent encore être garantis : les frais d’expertise et de décontamination (A), les frais supplémentaires d’exploitation (B), de veille de comptes bancaires (C) et les frais de gestion de crise (D).
A) Expertise et décontamination
La plupart des assureurs prennent en charge les frais d’expertise informatique engagés par l’assuré, notamment dans le but de déterminer la cause et l’étendue de l’incident ou encore de remettre le système en état de fonctionnement. De même, les dépenses faites pour mener une opération de décontamination suite à une infection par un virus peuvent être couvertes.
B) Frais supplémentaires
En outre, certaines polices couvrent les frais supplémentaires d’exploitation, exposés en accord avec l’assureur afin d’éviter ou de limiter une perte de chiffre d’affaires imputable au sinistre. Comme toute garantie de ce type, il est précisé que ces frais n’auraient pas été engagés en l’absence de sinistre et qu’ils ne sont couverts que dans la limite du montant de la baisse théorique de marge brute ainsi évitée. Une telle garantie est réellement souhaitable pour les entreprises, surtout lorsque le fonctionnement de leur système d’information est atteint. Pour ne pas connaître une baisse d’activité, l’entreprise qui a subi une indisponibilité totale ou partielle de son système va nécessairement engager des frais. Elle va peut-être devoir faire appel à un prestataire ou encore louer du matériel opérationnel pour pouvoir travailler normalement. Ce type de dépense pourra donc être pris en charge par l’assureur au titre de la garantie des frais supplémentaires.
C) Veille de comptes bancaires (« credit monitoring »)
On trouve aussi des garanties des frais d’opérations de « credit monitoring » pouvant être lancées par l’assuré en cas d’atteinte aux données personnelles. Sont ainsi couvertes les dépenses engagées auprès de prestataires de services de surveillance de comptes bancaires des tiers dont les données ont été volées ou divulguées, afin de détecter une éventuelle utilisation impropre de ces données.
Il peut en effet être intéressant pour une entreprise victime d’une atteinte aux données personnelles de mettre à la disposition des individus concernés ce type de service afin d’en limiter les impacts, notamment en terme de responsabilité. C’est aussi un moyen de rassurer les tiers et de leur montrer que l’entreprise est à même de gérer la crise.
D) Gestion de crise
Dans cette optique de gestion de son image, l’entreprise pourra aussi être amenée plus généralement à recourir aux services de consultants spécialisés dans les relations publiques et dans la gestion de crise. Certains assureurs accordent la prise en charge de ces frais et mettent à disposition de l’assuré les services d’un prestataire spécialisé désigné dans la police ou choisi par l’assuré et agréé par l’assureur.
C’est une garantie intéressante car l’entreprise doit être réactive en cas d’incident et une bonne communication peut réellement limiter l’atteinte à sa réputation et les conséquences commerciales et financières qui en découlent.
En marge des coûts de reconstitution de données, et des divers frais que nous venons d’évoquer, en cas d’atteintes aux données personnelles, l’entreprise va potentiellement devoir faire face à des frais spécifiques induits par les dispositions de la loi Informatique et Libertés. Les contrats cyber peuvent également apporter des garanties sur ces points.
§3 : Frais liés à la législation en matière de protection des données personnelles
Certaines polices couvrent notamment les coûts d’investigations et d’enquêtes d’une autorité administrative en cas d’atteintes aux données personnelles. Sont visées en fonction des assureurs, les dépenses engagées par l’assuré auprès de tout conseil pour l’assister et le représenter dans le cadre d’une telle enquête ou plus largement celles engagées auprès d’experts, consultants, avocats ou encore auditeurs afin d’identifier l’origine et les circonstances de l’atteinte, dans le cadre d’une procédure réglementaire relative à la protection des données personnelles. Là encore, ces prestataires peuvent être mis à disposition de l’assuré par la compagnie d’assurance.
En outre, tous les contrats cyber comportent une garantie des frais de notification aux personnes concernées et à l’autorité administrative compétente en cas d’atteinte aux données personnelles, selon les prescriptions de loi applicable en matière de protection des données personnelles. En France, il s’agit de la loi Informatique et Libertés. Certains assureurs couvrent ces frais même lorsque l’entreprise assurée n’est pas contrainte par la loi à notifier l’atteinte, mais qu’elle le fait de son initiative. Dans les deux cas, l’accord préalable de l’assureur sera en principe nécessaire.
Cette garantie nous semble incontournable dans une police cyber, et elle le sera encore plus lorsque l’obligation de notification concernera toutes les entreprises. En effet, lorsque l’atteinte aux données personnelles est massive, les coûts afférents à la notification peuvent être très importants.
Enfin, quelques assureurs prennent en charge les sanctions pécuniaires qui peuvent être prononcées par une autorité administrative en raison d’un manquement à la législation sur les données personnelles. Pour les entreprises françaises, sont naturellement visées les amendes de la CNIL. Si l’intention est louable, il n’est pas sûr qu’une telle garantie soit licite en France. En effet, l’assurabilité de ces amendes administratives fait l’objet de controverses car elles sont, pour certains, assimilables à des amendes pénales et ne peuvent donc pas être assurées(152).
La plupart des polices cyber garantissent également les pertes d’exploitation consécutives à un sinistre.
§4 : Pertes d’exploitation
Il s’agit d’une garantie des pertes d’exploitation comme on en trouve classiquement dans un contrat Dommages aux Biens ou Tous Risques Informatiques, avec une différence
notable et qui constitue un réel apport des polices cyber : la garantie des pertes d’exploitation couvre la perte de résultat subie par l’entreprise suite à la survenance d’un dommage immatériel garanti (atteinte au système ou aux données).
Étrangement, la période d’indemnisation n’est pas toujours précisée par les assureurs. L’une des offres étudiées prévoit que l’engagement de l’assureur au titre de cette garantie a une durée maximale de trois mois en principe, sauf mention spécifique aux Conditions particulières. Cela peut sembler peu par rapport aux périodes de 12 à 24 mois que l’on trouve dans un contrat Dommages Aux Biens, encore qu’une telle durée ne semble pas nécessaire à une entreprise pour se remettre d’une atteinte à son système d’information.
Il faut également prêter attention aux causes couvertes, comme pour chaque garantie. En effet, certains assureurs ne prennent pas en charge les pertes d’exploitation consécutives à une erreur humaine. A l’inverse, certaines offres ne sont pas restrictives quant à l’origine éventuelle de l’atteinte, et couvrent même les pertes d’exploitations qui seraient dues à une carence d’un prestataire, ce qui est appréciable en cas de recours au cloud computing.
La prise en charge des pertes d’exploitation consécutives à une atteinte au système ou aux données est capitale. A notre sens, c’est l’une des conséquences financières des cyber-risques la plus redoutable pour une entreprise, particulièrement lorsque son activité est entièrement dépendante de son système d’information.
Parmi les garanties de dommages, on trouve également la garantie extorsion.
§5 : Extorsion
En extension ou non, les polices cyber peuvent prévoir une garantie des frais liés à une menace d’extorsion. Est visée toute demande de remise de fonds faites à l’assuré dans le but d’empêcher ou de mettre fin à une menace proférée contre la sécurité du système d’information de l’entreprise susceptible d’aboutir à une atteinte au système ou aux données de l’entreprise.
L’assureur prend ainsi en charge le versement de fonds par l’assuré pour empêcher ou stopper la menace, à condition que l’assureur ait préalablement donné son accord écrit. La police peut également couvrir les frais engagés auprès d’un consultant afin qu’il réalise une enquête visant à déterminer la cause de cette menace d’extorsion.
L’extorsion fait bel et bien partie des cyber-risques en raison de la valeur des informations de l’entreprise, du caractère stratégique de certaines d’entre elles et du risque de responsabilité lié aux données personnelles. Cette garantie se justifie donc pleinement.
Les garanties de dommages proposées par les polices cyber sont globalement pertinentes car elles comblent les lacunes des contrats classiques. C’est le cas notamment de toutes les garanties liées aux dispositions de la loi Informatique et Libertés : frais de notification, coûts d’investigations et d’enquêtes et sanctions pécuniaires de la CNIL, qui ne se trouvent pas ailleurs. En outre, si des garanties telles que les pertes d’exploitation ou encore les frais de reconstitution des données peuvent se rencontrer dans des contrats Dommages Aux Biens ou Tous Risques Informatiques, elles ne sont jamais accordées en cas de dommage immatériel comme dans les polices cyber.
Ces polices offrent aussi un accompagnement en amont des entreprises en finançant le recours à un expert informatique, consultant juridique, gestion de crise et relations publiques qui sont essentiels pour minimiser les impacts.
Après avoir exposé les différentes garanties de dommages offertes par les polices cyber, attardons-nous sur leur mode de déclenchement.
152 ROBART (M.), Les sanctions pécuniaires à la limite de l’assurabilité, Argusdelassurance.com, publié le 16 novembre 2012
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance