Contrairement au volet responsabilité pour lequel les choses sont assez simples puisque les garanties se déclenchent nécessairement par la survenance d’une réclamation, les contrats cyber manquent de clarté s’agissant du mode de déclenchement des garanties dommages. Selon la rédaction des polices, il est parfois compliqué de déterminer si les garanties se déclenchent par la survenance du fait générateur (acte de malveillance, erreur humaine, etc.), par l’atteinte concrète portée aux données ou au système, ou encore par le dommage en tant que tel (frais effectivement engagés par l’assuré). Certains assureurs visent la survenance du « dommage immatériel » pendant la période d’assurance, formulation qui, sans précisions supplémentaires, est sujette à interprétation. En effet, par dommage immatériel, on peut entendre l’atteinte causée au système ou aux données, mais aussi les dommages financiers subis par l’entreprise.
Rappelons que c’est à l’assuré de prouver que son sinistre entre bien dans le champ de la garantie. Le doute profitant à l’assuré, ce flou peut être vu comme un avantage. On peut craindre que les assureurs ne jouent sur ces ambiguïtés pour refuser leur garantie à des entreprises qui n’iront pas forcément en justice pour obtenir gain de cause.
Une réponse générale est donc, comme pour la question des causes de dommages couvertes, difficile à donner. D’autant que le mode de déclenchement peut varier d’un poste de garantie à l’autre dans le volet dommage. Pour certaines garanties, les choses sont plus claires que pour d’autres. Par exemple, pour les frais d’enquête d’une autorité administrative, le déclencheur de la garantie sera en principe la survenance de l’enquête pendant la période de validité du contrat. La garantie extorsion sera déclenchée par la survenance de la menace d’extorsion. Pour d’autres garanties, des doutes pourront subsister. Ce n’est véritablement qu’au cas par cas, en fonction de l’offre souscrite et de la garantie en question, que l’élément déclencheur pourra être identifié.
Les garanties offertes par les polices cyber sont globalement pertinentes, d’une part parce qu’elles apportent une réponse aux conséquences financières résultant pour les entreprises d’une atteinte à leur système d’information ou à leurs données, d’autre part parce que la plupart de ces garanties n’existent tout simplement pas dans les polices classiques.
La portée réelle des garanties dépend toutefois de l’offre en question. Certains assureurs se montrent plus larges que d’autres quant aux causes des atteintes couvertes. Le mode de déclenchement des garanties, on vient de le voir, constitue également un point de vigilance. Enfin les exclusions, dont les plus importantes ont déjà été abordées, sont également plus ou moins restrictives et plus ou moins nombreuses d’une offre à l’autre. Parmi les exclusions rencontrées uniquement chez l’un ou l’autre assureur, on citera par exemple celle des frais engagés par l’assuré pour rendre son système d’information plus performant, l’exclusion du vol de monnaie virtuelle, ou encore l’exclusion des dommages résultant du non-respect par l’assuré de mesures de sécurité bancaires auxquelles il s’est engagé.
Notons enfin que la territorialité des garanties s’étend généralement au monde entier, sauf exclusion spécifique stipulée aux conditions particulières. Mais en pratique, il est possible que les assureurs excluent, sauf demande particulière de l’entreprise assurée, les réclamations formulées aux Etats-Unis et au Canada, comme c’est le cas généralement dans les polices d’assurance de Responsabilité Civile Générale. Dans ces pays, le risque de responsabilité civile est en effet accru, notamment du fait des actions de groupe (« class actions »). Si l’entreprise assurée détient des données de ressortissants américains, cette restriction peut s’avérer très pénalisante.
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance