Concrètement, que remboursent les assurances Cyber ?

Les contrats Cyber sont des polices « hybrides » qui ont la particularité de couvrir des conséquences de « responsabilité civile » et des pertes et conséquences financière subies par l’assuré en « dommages ou pertes propres ».

1. En « responsabilité civile »

• Une atteinte aux données personnelles et/ou une violation des règles relatives à la protection des données personnelles,
• Une atteinte aux données confidentielles d’un Tiers.
• Une atteinte à la sécurité des réseaux informatiques d’un Tiers. Cette garantie ne se limite généralement pas à la transmission de virus sur les réseaux informatiques d’un Tiers. Toute erreur de l’Assuré ayant permis l’intrusion dans le système informatique d’un Tiers peut également être couverte.
• Une atteinte au droit à l’image d’un Tiers, à sa vie privée, une diffamation ou une atteinte à la propriété intellectuelle. Ceci si l’atteinte est liée à la diffusion sur le site internet ou également - pour certaines polices Cyber – sur un média social de l’Assuré
• Une violation de toute norme de sécurité des données PCI-DSS (transactions par cartes de paiement) à laquelle l’Assuré est tenu de se conformer auprès des prestataires de service de paiement électronique (Visa, Mastercard etc.) s’il assume des services de paiement dématérialisé. Cette garantie n’a de sens que si l’Assuré est certifié PCI-DSS.

2. En « dommages et pertes propres »

Les frais et pertes subis par l’Assuré à la suite d’une intrusion malveillante sont couverts, en particulier :

• les frais d’expertise informatique (forensics / recherche de cause après sinistre)
• les frais de gestion de l’incident et de communication de crise (préservation de l’image)
• les frais de réparation (décontamination) du système infecté
• les frais de reconstitution des données

Sont également couverts :

• les pertes d’exploitation consécutives (sans dommage matériel).

Certaines polices peuvent prévoir explicitement que les conséquences d’un arrêt préventif des réseaux informatiques pour éviter la propagation d’un virus soient couvertes.

• Les pertes d’exploitation consécutives à un arrêt des systèmes informatiques par décision du régulateur en cas d’atteinte aux données personnelles.

Cette garantie n’est pas accordée par tous les assureurs.

• les frais supplémentaires d’exploitation permettant de réduire ou d’éviter les pertes d’exploitation.

Quelques polices couvrent également les « frais additionnels d’exploitation » qui sont les frais permettant de redémarrer au plus au plus vite l’activité sans avoir à justifier d’une réduction du montant des pertes d’exploitation.

Une atteinte à des données personnelles entraînerait par ailleurs des frais pour l’Assuré, qui seraient pris en charge par l’Assureur :

• les frais de conseils juridiques en cas de déclaration de l’incident auprès de la CNIL
• les frais d’enquête administrative de la CNIL les frais de notification à la fois aux Tiers concernés par l’Atteinte à des données personnelles et à la CNIL
• les sanctions pécuniaires prononcées par la CNIL lorsqu’elles sont « assurables ».

L’analyse de SIACI SAINT HONORE, en l’absence de jurisprudence formelle : les sanctions de niveau 1 au sens du RGPD sont « assurables, mais pas les sanctions de niveau 2 qui sont des sanctions quasi-pénales.

De plus, en cas de demande de rançon (typiquement suite à un ransomware), l’Assureur couvre :

• le paiement de la rançon

Ceci est généralement soumis à accord préalable de l’Assureur. Dans les faits, nous serions dans une situation où il n’y a pas de back-up exploitable ou que c’est économiquement désavantageux de reconstituer les données ; de plus, la rançon n’est payable que si elle ne finance pas le terrorisme ; enfin, des experts en « Threat Intelligence » devraient montrer une bonne chance de récupérer les données avec la clé de décryptage envoyée par le groupe de hackers.

• les frais associés comme la négociation de la rançon

Cette dernière garantie n’est pas accordée par tous les assureurs.

Enfin, en plus des garanties listées plus haut qui sont le « cœur » du contrat Cyber, certaines polices proposent des extensions. Ces dernières sont néanmoins toujours fortement sous- limitées et ne peuvent à elles seules déterminer le bon choix de produit d’assurance. Les principales exclusions qui peuvent être proposées sont :

• les frais de défense recours contre l’auteur de la malveillance
• les frais d’atténuation de la responsabilité civile

Par exemple, un voucher offert à un client qui permettrait d’éviter une réclamation plus onéreuse de ce client.

• les frais d’amélioration de la sécurité informatique suite au sinistre.

Ceci pour éviter que le même type d’attaque Cyber se reproduise

• la fraude informatique

On entend par fraude informatique toute fraude qui a nécessité une intrusion dans le système informatique de l’Assuré. Une telle extension ne saurait se substituer à une police Fraude complète, non sous-limitée et couvrant également les autres mécanismes de Fraude (comme la fraude par usurpation d’identité).

• les frais d’assistance d’urgence sans franchise

La période de couverture est en général limitée aux premières 48h ou 72h suivant la découverte de l’évènement Cyber ; cela concerne alors les frais d’experts informatiques préventifs pour « lever le doute » sur une possible attaque informatique et limiter son impact; plus rarement, les conseils juridiques concernant les relations avec la CNIL et avec les tiers, les frais de notification aux tiers et à la CNIL et les frais de communication de crise en urgence peuvent être également inclus dans cette garantie.