Au vu de l’exposition grandissante des entreprises aux cyber-risques et des limites des polices d’assurance classiques, il y a manifestement de réels besoins de garantie. L’enjeu est de déterminer si les polices cyber actuellement disponibles sur le marché y répondent et si cette réponse est adaptée et donc opportune pour les entreprises. Pour le savoir, nous avons analysé et comparé cinq de ces offres dédiées. Il en ressort que les polices cyber ne sont pas toutes homogènes, certaines sont plus limitées que d’autres, même si globalement le niveau de garantie ou de service offert est sensiblement le même. Notre étude ne se veut pas exhaustive, elle nous permet néanmoins de nous faire une idée générale de l’intérêt des garanties offertes par ces polices dédiées.
Ces polices ont pour objet de couvrir les entreprises contre les diverses conséquences financières résultant des atteintes aux systèmes d’information et aux données, dommages immatériels par essence. S’agissant de polices dites à « périls dénommés », a contrario, les dommages matériels et corporels ne sont pas garantis. Notons que certains assureurs prennent quand même la précaution de les exclure expressément.
L’objectif affiché de ces offres est de combler les lacunes des polices classiques qui peuvent être actionnées dans certains cas mais qui n’apportent qu’une réponse partielle aux cyber-risques. Les polices dédiées n’ont toutefois pas pour objet de racheter les exclusions usuelles des polices de responsabilités et de dommages classiques. A côté des exclusions légales impératives (faute intentionnelle de l’assuré, guerre, notamment), on retrouve dans les contrats cyber : l’exclusion du défaut de performance des produits ou services vendus par l’assuré, de l’usure normale des installations, des actes de terrorisme, des catastrophes naturelles ou encore l’exclusion des dommages nucléaires.
Remarquons que l’exclusion du terrorisme peut poser un problème en l’espèce car certains terroristes se sont emparés aujourd’hui de l’outil internet et peuvent commettre des actes de cybercriminalité. L’assureur pourrait donc se retrancher derrière cette exclusion pour refuser sa garantie en cas de piratage informatique subi par une entreprise et dont l’auteur aurait des revendications terroristes.
Par ailleurs, on retrouve dans presque tous les contrats dédiés l’exclusion des dommages relatifs au codage de la date, exclusion intégrée dans les polices d’assurance de Responsabilité Civile Générale des entreprises à la fin des années 90, par peur du fameux « bug de l’an 2000 ». A l’époque, cette crainte semblait légitime puisque personne ne savait quel serait le comportement des fonctionnalités informatiques lors du changement de millénaire, du fait du passage inédit à une année symbolisée par un double « 0 ». On peut toutefois se poser la question de l’intérêt de cette exclusion aujourd’hui dans les polices cyber.
Outre des exclusions « classiques », les offres dédiées contiennent naturellement d’autres exclusions et limites plus spécifiques, voire beaucoup d’autres selon l’assureur. Nous les évoquerons au moment opportun, en complément de la description des différentes garanties prévues dans les contrats cyber. Dans notre optique d’évaluation des apports concrets de ces polices spécifiques, nous aurons plus généralement à coeur de relever à la fois leurs forces et leurs faiblesses.
Les polices d’assurance des cyber-risques ont pour caractéristique commune de mêler des garanties de responsabilités (Chapitre 1) et des garanties de dommages (Chapitre 2). Nous évoquerons donc toutes les garanties rencontrées au cours de notre étude selon cette dichotomie. Pour ce qui est du détail des garanties à proprement parler, nous ne chercherons pas nécessairement à coller aux intitulés et notions retenues par les assureurs qui divergent d’un contrat à l’autre, mais nous nous attacherons à décrire leur contenu qui est sensiblement le même.
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance