Besoin d'aide ?
Rappel immédiat et gratuit
LES ACTU' CLC

Cyberattaques - Dossier complet

LES ACTU' CLC - Publiée le 03/12/20
Auteur : Frédéric Gatte – Responsable Pôle Risques Cyber – Département Risques Financiers Siaci Saint Honoré

Une couverture des actes de malveillance informatique, mais pas seulement...

L’objet principal des garanties des polices Cyber concerne les conséquences d’actes de malveillance.

Toutefois, les polices Cyber peuvent couvrir les conséquences d’autres risques digitaux d’origine accidentelle.

Ainsi, le périmètre des garanties se décompose comme suit :

  • La malveillance est couverte, quel que soit l’auteur et la motivation de cet auteur, cybercriminel, espionnage industriel, sabotage par groupe sponsorisé par un état ou encore un employé (sauf les directeurs de l’Assuré et les responsable informatiques) etc.
  • L’erreur de programmation après la phase de développement et recettage, qui se révèle à la mise en exploitation et entraîne des frais de reconstitution de données et des pertes d’exploitation peut également être couverte.
  • L’erreur humaine, lors de l’exploitation du système informatique ou sa maintenance, peut également être couverte si elle est à l’origine d’une altération des données ou d’un arrêt du Système d’Informations. Il faut noter cependant que de plus en plus d’assureurs restreignent la notion d’erreur humaine à l’erreur commise par les employés de l’Assuré et excluent l’erreur humaine d’un prestataire de service informatique.
  • Les problèmes techniques ou défaillance des systèmes peuvent enfin être couverts s’ils entraînent des frais de reconstitution de données et des pertes d’exploitation et se caractérisent par :
  • Une défaillance de matériel et/ou
  • Un problème d’alimentation électrique ou de réseau télécom localisé sur le site de l’Assuré
  • Une surtension ou sous tension électrique
  • Une perturbation électromagnétique ou accumulation électrostatique
  • Une surchauffe

Les assureurs excluent de plus en plus les problèmes techniques, au moins en partie et/ou ne les couvrent parfois que s’ils sont la conséquence d’un acte malveillant (pour les problèmes électriques par exemple)

Il faut néanmoins souligner que les sinistres enregistrés par les assureurs Cyber sont très rarement dus à des erreurs ou des problèmes matériels ou techniques (qui restent en général sous franchise). La source des sinistres indemnisés est bien l’attaque malveillante.

Les principales limites au champ d’application des polices Cyber

Pour bien appréhender le champ d’application des polices Cyber, il est important de mentionner que toutes les polices Cyber comportent trois exclusions majeures :

  1. Les dommages matériels (i.e. modification de la substance de la matière / de la structure atomique) sont exclus. Ainsi, en cas de dommage matériel physique, ce dommage ainsi que toutes ses conséquences (aussi bien matériels qu’immatériels c’est-à-dire les pertes d’exploitations consécutives) sont exclus de la couverture de la police Cyber. Ces conséquences doivent être prises en charge par les polices d’assurance de dommages aux biens et il convient alors être vigilant sur la présence de toute exclusion Cyber qui viendrait limiter ces garanties.
  1. Les dommages corporels sont également exclus de toutes les polices Cyber, avec néanmoins un rachat partiel de l’exclusion pour le stress (préjudice moral) causé par l’atteinte aux données personnelles d’un tiers.
  1. Les conséquences de la responsabilité civile professionnelle sont exclues dans le cadre de la délivrance de prestations de services (informatiques ou de traitement de données) ou de la fourniture de biens et de produits (technologiques). Dans le cadre de l’activité de l’Assuré, les atteintes au système d’information d’un Tiers ou l’atteinte à ses données personnelles ou confidentielles sont bien couvertes par le volet responsabilité civile des polices Cyber de même que la transmission d’un virus à une organisation tierce. En revanche, le retard ou le défaut de livraison de même que la défaillance d’un produit y compris incluant des logiciels infectés ou une erreur commise dans une prestation intellectuelle sont des évènements exclus des polices Cyber. Ils doivent demeurer couverts au sein des programmes d’assurance de responsabilité civile.

 

Nota Bene : les autorités comme l’ACPR en France ont préconisées de faire attention aux couvertures silencieuses présentes dans les assurances classiques - particulièrement pour les contrats de responsabilité civile - et d’expliciter les garanties Cyber offertes (cf. par exemple : https://www.argusdelassurance.com/juriscope/risque-cyber-une-distribution-sous-surveillance-analyse.158294).

En conséquence, nous avons vu arriver dans certains contrats RC des clauses d’exclusion Cyber et notre travail a été et reste, en coordination avec le département RC de SIACI, de s’assurer que l’exclusion Cyber était bien restreinte au Volet « exploitation » de la police RC et pas au « volet RC Pro/ Après Livraison » (ce dernier étant toujours exclu des polices Cyber)


 

Quelles sont les pertes qui peuvent être indemnisées par l’assurance Cyber ?

Les contrats Cyber sont des polices « hybrides » qui ont la particularité de couvrir des conséquences de « responsabilité civile » et des pertes et conséquences financière subies par l’assuré en « dommages ou pertes propres ».

  1. En « responsabilité civile »

Les assureurs peuvent rembourser les conséquences pécuniaires et frais de défense résultant de toute réclamation de Tiers pour :

  • Une atteinte aux données personnelles et/ou une violation des règles relatives à la protection des données personnelles,
  • Une atteinte aux données confidentielles d’un Tiers.
  • Une atteinte à la sécurité des réseaux informatiques d’un Tiers. Cette garantie ne se limite généralement pas à la transmission de virus sur les réseaux informatiques d’un Tiers. Toute erreur de l’Assuré ayant permis l’intrusion dans le système informatique d’un Tiers peut également être couverte.
  • Une atteinte au droit à l’image d’un Tiers, à sa vie privée, une diffamation ou une atteinte à la propriété intellectuelle. Ceci si l’atteinte est liée à la diffusion sur le site internet ou également - pour certaines polices Cyber – sur un média social de l’Assuré
  • Une violation de toute norme de sécurité des données PCI-DSS (transactions par cartes de paiement) à laquelle l’Assuré est tenu de se conformer auprès des prestataires de service de paiement électronique (Visa, Mastercard etc.) s’il assume des services de paiement dématérialisé. Cette garantie n’a de sens que si l’Assuré est certifié PCI-DSS.
  1. En « dommages et pertes propres »

Les frais et pertes subis par l’Assuré à la suite d’une intrusion malveillante sont couverts, en particulier :

  • les frais d’expertise informatique (forensics / recherche de cause après sinistre)
  • les frais de gestion de l’incident et de communication de crise (préservation de l’image)
  • les frais de réparation (décontamination) du système infecté
  • les frais de reconstitution des données

Sont également couverts :

  • les pertes d’exploitation consécutives (sans dommage matériel).

Certaines polices peuvent prévoir explicitement que les conséquences d’un arrêt préventif des réseaux informatiques pour éviter la propagation d’un virus soient couvertes.

  • Les pertes d’exploitation consécutives à un arrêt des systèmes informatiques par décision du régulateur en cas d’atteinte aux données personnelles.

Cette garantie n’est pas accordée par tous les assureurs.

  • les frais supplémentaires d’exploitation permettant de réduire ou d’éviter les pertes d’exploitation.

Quelques polices couvrent également les « frais additionnels d’exploitation » qui sont les frais permettant de redémarrer au plus au plus vite l’activité sans avoir à justifier d’une réduction du montant des pertes d’exploitation.

Une atteinte à des données personnelles entraînerait par ailleurs des frais pour l’Assuré, qui seraient pris en charge par l’Assureur :

  • les frais de conseils juridiques en cas de déclaration de l’incident auprès de la CNIL
  • les frais d’enquête administrative de la CNIL les frais de notification à la fois aux Tiers concernés par l’Atteinte à des données personnelles et à la CNIL
  • les sanctions pécuniaires prononcées par la CNIL lorsqu’elles sont « assurables ».

L’analyse de SIACI SAINT HONORE, en l’absence de jurisprudence formelle : les sanctions de niveau 1 au sens du RGPD sont « assurables, mais pas les sanctions de niveau 2 qui sont des sanctions quasi-pénales.

De plus, en cas de demande de rançon (typiquement suite à un ransomware), l’Assureur couvre :

  • le paiement de la rançon

Ceci est généralement soumis à accord préalable de l’Assureur. Dans les faits, nous serions dans une situation où il n’y a pas de back-up exploitable ou que c’est économiquement désavantageux de reconstituer les données ; de plus, la rançon n’est payable que si elle ne finance pas le terrorisme ; enfin, des experts en « Threat Intelligence » devraient montrer une bonne chance de récupérer les données avec la clé de décryptage envoyée par le groupe de hackers.

  • les frais associés comme la négociation de la rançon

Cette dernière garantie n’est pas accordée par tous les assureurs.

Enfin, en plus des garanties listées plus haut qui sont le « cœur » du contrat Cyber, certaines polices proposent des extensions. Ces dernières sont néanmoins toujours fortement sous- limitées et ne peuvent à elles seules déterminer le bon choix de produit d’assurance. Les principales exclusions qui peuvent être proposées sont :

  • les frais de défense recours contre l’auteur de la malveillance
  • les frais d’atténuation de la responsabilité civile

Par exemple, un voucher offert à un client qui permettrait d’éviter une réclamation plus onéreuse de ce client.

  • les frais d’amélioration de la sécurité informatique suite au sinistre.

Ceci pour éviter que le même type d’attaque Cyber se reproduise

  • la fraude informatique

On entend par fraude informatique toute fraude qui a nécessité une intrusion dans le système informatique de l’Assuré. Une telle extension ne saurait se substituer à une police Fraude complète, non sous-limitée et couvrant également les autres mécanismes de Fraude (comme la fraude par usurpation d’identité).

  • les frais d’assistance d’urgence sans franchise

La période de couverture est en général limitée aux premières 48h ou 72h suivant la découverte de l’évènement Cyber ; cela concerne alors les frais d’experts informatiques préventifs pour « lever le doute » sur une possible attaque informatique et limiter son impact; plus rarement, les conseils juridiques concernant les relations avec la CNIL et avec les tiers, les frais de notification aux tiers et à la CNIL et les frais de communication de crise en urgence peuvent être également inclus dans cette garantie.

Conclusion

Face à des attaques Cyber toujours plus nombreuses et coûteuses, l’assurance Cyber est passée du statut de produit « can have » à celui de produit « must have » pour les entreprises.
L’assurance Cyber est une offre complète qui comble efficacement les trous de garantie laissés par les polices classiques et qui, à l’épreuve des sinistres gérés par SIACI, a montré toute sa pertinence pour protéger le compte d’exploitation des entreprises impactées.
Cet article vous a-t-il été utile ?
Retour à la page actualités