Assurance cyber-risque : vers un big bang ?

Assurance cyber-risque : vers un big bang ?
⏱ Lecture 5 min

Par Gérard Haas et Stéphane Astier

En ce début d'année 2019, le secteur de l’assurance cyber retient son souffle. La raison : une procédure déclenchée par le géant agroalimentaire américain Mondelez à l’encontre de Zurich American Insurance Company suite à la cyberattaque mondiale NotPetya intervenue en juin 2017.

 

 

Le mastodonte du chocolat et du biscuit a en effet déposé une plainte devant un Tribunal de l’Illinois afin de contester le refus d’indemnisation opposé par l’assureur Zurich.

Nous parlons ici de plus de 100 millions de dollars de dommages causés par cette seule attaque qui avait mis hors service 1700 serveurs et 24000 ordinateurs du groupe américain.

  • D’un côté Mondelez estime que son assurance cyber couvrait « les dommages et sinistres physiques causés aux données électroniques, aux programmes et aux logiciels, incluant [ceux] résultant de l'introduction malintentionnée de codes machine ou d'instructions». NotPetya ne pourrait être assimilée à une guerre au sens juridique du terme faute de la présence d’une arme soutenant un usage militaire de la force.
  • De l’autre, l’assureur oppose la clause d’exclusion de garantie prévue au contrat qui visait des « actes hostiles ou liés à des guerres ('warlike') » ou causés par « un gouvernement ou une force souveraine». L’impact de NotePetya et les accusations portées au niveau international par les Etats Unis et par la Grande Bretagne à l’encontre de la Russie au moment des faits pourraient donner du poids à cette argumentation.

Une cyberattaque de l’ampleur de NotPetya peut-elle être assimilable à une guerre au sens juridique du terme ? Telle est la question à 100 millions de dollars posée au Tribunal de l’Illinois qui plus globalement interroge l’ensemble des entreprises sur la question de la couverture de l’assurance cyber.

Cette affaire est l’occasion de revenir sur les enjeux de l’assurance dans le cadre de la gestion des cyber-risques.

1. L’explosion de l’assurance cyber est inéluctable

L’explosion des incidents de sécurité informatique et des dommages générés par ces incidents est un fait[1]. Chaque entreprise grande ou petite, chaque acteur public est concerné(e) et ce, quel que soit son secteur d’activité.

Face à l’explosion des cyberattaques, le législateur entend opposer un corpus juridique faisant de la sécurité informatique un enjeu central. C’est ainsi que l’obligation de sécurité des données et de vigilance qui s’impose à tous trouve son origine dans une grande diversité de textes légaux et réglementaires :

  • Le Règlement Général Européen sur la Protection des données (RGPD) entré en vigueur le 25 mai 2018 ainsi que la loi n°78-17 dite informatique et libertés du 6 janvier 1978 modifiée imposent en effet une obligation générale de sécurité des données à caractère personnel aux responsables de traitements et à leurs sous-traitants[2]. Les sanctions en cas de violation de cette obligation se multiplient[3], tout comme les notifications à la CNIL[4].
  • Citons également la loi n°2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre. Un plan spécifique doit être formalisé afin d’identifier les risques et de prévenir les atteintes graves « envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l’environnement ». Or, l’analyse des risques induite par ce plan devra nécessairement intégrer le risque cyber et l’analyse des conséquences possibles de cyber attaques[5].
  • la loi de programmation militaire pour 2014-2019 ainsi que la directive « Sécurité des Réseaux d’Information » (« Network and Information Security ») transposée le 26 février 2018[6] visant les Opérateurs de Services Essentiels (OSE) et des Fournisseurs de Service Numérique (FSN) avec des obligations de sécurité spécifiques pour les Opérateurs d’Importance Vitale (OIV), les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Service Numérique (FSN).

Répondant à ce contexte légal, la cyberassurance ne peut que se développer de manière exponentielle. Elle devrait ainsi représenter 8 à 9 milliards de dollars de primes brut au niveau mondial à horizon 2020.

Pour autant, le litige visé plus haut laisse à penser que l’évaluation des risques par l’assureur n’est pas une mince affaire.

2. Un cyber-risque qui est multiple

assurance cyber (1)

Subir une cyberattaque place l’entreprise victime dans une situation de risques multiples difficile à appréhender pour l’assureur comme pour la potentielle victime. Il est ici possible de distinguer :

Un risque matériel/financier/d’exploitation :

pannes, blocages de l’entreprise et de son activité, etc.

Un risque d’image :

Avec l’obligation de notification aux personnes concernées dans les cas les plus graves, ou encore en cas de publicité d’une décision de sanction de la CNIL suite à une défaillance de sécurité, nul doute que l’image de l’entreprise victime s’en trouvera entachée. La perte de confiance des clients, partenaires et investisseurs doit ici être évaluée.

Un risque juridique:

La seule législation sur la protection des données expose l’entreprise victime à des sanctions financières pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires mondial consolidé.

Pour être « assurable » un risque doit pouvoir être évalué et faire l’objet d’une prédiction fiable par l’assureur, cette prédiction étant réalisée au travers d’études actuariales[7] de sinistres antérieurs.

La difficulté réside ici dans le fait que les techniques de cyberattaques sont en perpétuelle évolution et qu’elles génèrent des conséquences de plus en plus variées, rendant moins fiables les analyses prédictives effectuées en amont. 

3. L’assurance cyber au cœur du dispositif de mise en conformité

Si certains contrats d’assurance « classiques » peuvent parfois couvrir une partie des risques cyber – c’est par exemple le cas de certains contrats d’assurance visant les dommages aux biens[8] ou certains contrats de responsabilité civile[9] - l’avenir est à la conclusion de contrats d’assurance dédiés au risque cyber et couvrant les sinistres liés à :

  • la protection des données personnelles (données bancaires, données de santé, NIR etc.) comme des données sensibles stratégiques de l’entreprise (secret des affaires, savoir-faire etc.)
  • l’intégrité des systèmes d’information que la faille de sécurité soit d’origine interne (salarié malveillant, erreur humaine) ou externe (hacking, attaques de concurrents).

Ce type de couverture s’inscrit dans une logique globale de mise en conformité juridique ne serait-ce qu’au regard de la réglementation précitée sur la protection des données à caractère personnel.

Seront ainsi généralement couverts les frais d’expertise informatique pour stopper l’intrusion, la prise en charge des prestations d’accompagnement juridique et de communication de crise, les frais de notification, les pertes de chiffre d’affaires, les frais de négociation dans l’hypothèse d’extorsion

Il n’en demeure pas moins indispensable d’envisager un accompagnement expert tant juridique que technique et ce de manière préventiveaudits de traitements[10], analyse d’impact[11], formalisation du référentiel sécurité[12], réalisation de tests d’intrusion et d’action d’ingénierie sociale[13], sensibilisation du personnel[14] etc. -  comme curativegestion de crise, procédures de notification, actions judiciaires etc.

*******

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt ans en droit des nouvelles technologies.

Le département cybersécurité est dédié à l’accompagnement expert des acteurs privés comme publics confrontés aux cyber-risques.

Vous voulez en savoir plus sur nos missions ? Cliquez ICI

 

 

[1] Cf. https://www.haas-avocats.com/actualite-juridique/cyberrisque-explosion-des-vols-de-donnees-quelles-consequences/

[2] Cf. art. 32 et s RGPD, Cf. art. 34 et 35 loi informatique et libertés

[3] Cf. à titre d’exemple http://info.haas-avocats.com/droit-digital/uber-sanctionn%C3%A9e-par-la-cnil-pour-atteinte-%C3%A0-la-s%C3%A9curit%C3%A9-des-donn%C3%A9es

[4] Cf. pour un bilan à 6 mois après l’entrée en vigueur du RGPD http://info.haas-avocats.com/droit-digital/s%C3%A9curit%C3%A9-des-donn%C3%A9es-le-bilan-6-mois-apr%C3%A8s-le-rgpd

[5] Une cyber attaque peut engendrer une mise en danger des personnes par exemple dans le secteur des hôpitaux en cas d’atteinte à l’intégrité des données des patients. Cf. https://www.haas-avocats.com/data/politique-generale-securite-des-systemes-dinformation-sante-pgssi-s-marche-2/

[6] Cf. https://www.haas-avocats.com/data/fsn-fournisseurs-de-services-numeriques-les-obligations-legales-en-matiere-de-securite-informatique-avec-le-rgpd/

[7] Cf. https://www.haas-avocats.com/actualite-juridique/actuariat-big-data-quels-enjeux-juridiques/

[8] Lorsque le matériel informatique de l’entreprise est touché et rendu en tout ou partie inutilisable suite à une attaque par ex.

[9] Lorsque l’entreprise engage sa responsabilité contractuelle en cas de défaillance dans la sécurisation des traitements de données par ex.

[10] Cf. https://www.haas-avocats.com/data/mise-en-conformite-rgpd-quelle-methodologie/

[11] Cf. https://www.haas-avocats.com/data/raisons-mener-une-etude-dimpact/

[12] Op. Cit. https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/

[13] Cf. https://www.haas-avocats.com/data/cyberattaque-mondiale-route-vers-cyberchaos/

[14] Cf. https://www.haas-avocats.com/data/gdpr-comment-sensibiliser-direction/

Stéphane ASTIER

Auteur Stéphane ASTIER

Suivez-nous sur Linkedin