Par Stéphane Astier et Anne Charlotte Andrieux
L'enquête annuelle du cabinet PwC auprès de dirigeants de plus de 89 pays révèle que ces derniers ont désormais pour principal sujet de préoccupation, la sécurité de leurs systèmes d’information.
Si la multiplication des incidents de sécurité et attaques cyber a incité les entreprises à se doter de barrières techniques de plus en plus perfectionnées, la confrontation des entreprises à cette typologie spécifique de vulnérabilité a convaincu bon nombre d’acteurs de la nécessité de couvrir les risques majeurs générés par de tels sinistres : fuite de données confidentielles, blocage de l’activité, pertes de confiance du marché, atteinte majeure à la réputation de l’entreprise etc. En réaction à cette demande croissante de couverture, les offres d’assurance cyber se sont d’abord multipliées avant de connaître un retournement drastique matérialisé par un durcissement des conditions d’éligibilité à ce type de police. De vives tensions en résulte et il est parfois difficile pour une entreprise d’accéder voire de maintenir sa couverture cyber.
L’enjeu est pourtant de taille sur un marché où les prix vont croissants (hausse de 32% entre 2020 et 2021), notamment en réaction à la vague de ransomware qui s’est abattue sur les acteurs européens en 2021.Face à ce constat l’assurance cyber risque ne doit plus être négligée et en particulier par les ETI dont une minorité est couverte (autour de 8%).
L’assurance cyber, indispensable pour couvrir préjudices spécifiques suite à une cyberattaque
De multiples vocables sont apparus au cours des dernières années « cyber assurance », « pack cyber », « assurance cyber-risques », mais tous désignent une même réalité : un contrat d’assurance destiné à couvre l‘entreprise pour les risqués liés à l’informatique tels que les piratages, les virus, les ransomware ou encore les attaques par dénie de service (Ddos). Si les compagnies ont fait montre d’ingéniosité dans le développement de ces offres, toutes ne sont pas identiques.
Observons tout d’abord que l’assurance cyber a vocation à compléter les assurances courantes de type multirisques et responsabilité civile, lesquelles couvrent parfois partiellement la survenance de certains risques cyber.
Si la plupart des compagnies couvrent les conséquences immédiates des incidents de sécurité tels que les frais liés au rétablissement du service ou la reconstitution des données, il convient de veiller aux conditions applicables.
Il est ainsi courant d’observer que la prise en charge des frais de reconstitution sont conditionnés à la mise en place d’un système de sauvegarde par l’entreprise. Qui plus est, de nombreux postes de dépenses significatifs en matière de gestion de crise cyber sont couverts de manière plus aléatoire : communication de crise, accompagnement technique et juridique à la gestion de crise, etc.
Il convient dès lors de redoubler d’attention quand vient l’heure de souscrire, de renégocier ou de changer d’assurance cyber. Si le recours à un courtier spécialisé est précieux pour naviguer parmi la multiplicité des offres et trouver une couverture adaptée à ses risques, la souscription d’un contrat nécessite un pilotage juridique qui va nécessairement de pair avec le dispositif de mise ne conformité des entreprises à la règlementation relative à la protection des données (RGPD).
Assurance cyber : tour d’horizon
« Vos activités ne font plus partie de nos appétits de souscription en cyber » tel est en substance le message reçu en guise de vœux par certains dirigeants pris au dépourvu.
Si 2021 fut l’année de la prise de conscience pour nombre d’acteurs, le passage à 2022 s’est accompagné de son lot de dénonciation et de renégociation fondées sur l’aggravation du risque en cours de contrat [1].
Face à l’évolution de la sinistralité, la plupart des compagnies réévaluent leurs risques et de nombreuses entreprises, en particulier celles affectées par un incident de sécurité au cours de l’année, ont vu leur contrat inopinément résilié au cours du dernier trimestre, les contraignant à accepter de nouvelles conditions (réduction de la couverture, hausse significative des primes) ou à rechercher d’autres offres lorsque leur compagnie refuse de les couvrir ou décide tout simplement de se désengager de certains segments du marché jugés trop couteux.
En amont et en aval : comment piloter efficacement sa couverture cyber ?
En amont de la souscription ou lors d’un renouvellement, les compagnies sont de plus en plus nombreuses à déployer des questionnaires ciblés d’évaluation du risque cyber, au titre desquels les assurés sont amenés à renseigner les mesures de sécurité déployées pour prévenir les atteintes à leurs systèmes d’information.
Ces checklists ne sont pas sans rappeler les mesures de sécurité techniques et organisationnelles mises à la charge des organismes européens en application de la règlementation relative à la protection des données.
A ce titre, les garanties que peut apporter une entreprise au titre de sa conformité au RGPD sont autant de signaux positifs pour les compagnies d’assurance lorsque vient l’heure d’évaluer ou réévaluer la prime.
Ci-dessous quelques étapes à ne pas oublier pour piloter efficacement sa couverture cyber :
Auditer ses contrats
« Multirisque pro », « Responsabilité civile pro », « Tous risques », « Risque matériels IT », les contrats d’assurances viennent souvent à se cumuler. Lorsque vient le temps de faire un tour d’horizon des assurances cyber existantes, le premier réflexe devrait être d’auditer ses contrats existants.
Bien souvent les contrats dits traditionnels, incluent déjà la prise en charge de certains préjudices tels que les dommages matériels ou les dommages causés aux tiers susceptibles de résulter d’un incident cyber.
En complément du travail à effectuer avec votre courtier, un audit juridique des garanties et exclusions de garanties présentes au sein des différents contrats permettra d’éviter les doublons et les failles dans votre couverture.
Mettre en place les mesures de conformité prioritaires
Lorsque les compagnies évaluent le risque la conformité de votre entreprise sera un axe de négociations stratégiques pour permettre d’obtenir une couverture adaptée.
Certains points clés qui se retrouvent dans bon nombres de contrats sont ainsi à prendre en compte :
- La mise en place de mesures techniques et organisationnelles anti-phishing
- La sensibilisation des équipes clés à la gestion d’incident cyber
- La formalisation des règles applicables aux utilisateurs et administrateurs des SI
- L’implémentation d’outils de détection des vulnérabilités et des intrusions sur les systèmes et réseaux
- Ou encore le filtrage des mails et sites dangereux
La mise en œuvre de ces mesures découle au premier chef des recommandations de la CNIL et de l’ANSSI afin de protéger les données à caractère personnel. On voit ici le lien direct entre la conformité RGPD (Cf. l’obligation générale de mettre en œuvre les mesures organisationnelles et techniques dédiées à la sécurité et à la confidentialité des données prévue notamment à l’article 32 du texte).
Cartographier et réévaluer régulièrement son risque
Le risque cyber porté par l’entreprise est mouvant, non seulement à raison de l’innovation permanente des cybercriminels, mais également à l’aune de l’évolution des activités de l’entreprise. Le déploiement d’un nouveau service, l’évolution du périmètre du SI, ou a mise en place d’un nouveau traitement de données sont autant de facteurs à prendre en considération pour réévaluer le risque et le besoin de couverture.
L’évaluation de ces risques nécessite une concertation périodique entre les services financiers, les services techniques et la direction juridique. Il incombe en effet à cette dernière la charge d’auditer régulièrement les contrats souscrits notamment en vue de s’assurer que l’entreprise ne se place pas en zone d’exclusion de garanties. La vérification des polices d’assurance souscrites par les prestataires clés en lien avec les systèmes d’information de l’entreprise ainsi que l’évaluation des garanties proposées au titre de la conformité RGPD ou des garanties de sécurité des données constituera également un aspect important de la tâche incombant à la Direction juridique dans le cadre d’un management global du risque.
Intégrer le volet assurantiel dans le pilotage juridique des crises cyber
Le pilotage d’une cybercrise nécessite des compétences multiples en matière technique, juridique et de communication. Pris dans la tourmente de la crise (rétablissement des systèmes, investigations, communiqués de crise, notifications aux autorités de régulation), le volet assurantiel ne doit pas être négligé au risque de compromettre la prise en charge du sinistre et des frais induits par la gestion de crise.
En effet, la plupart des contrats impliquent une information et une coopération continue avec la compagnie d’assurance et ce à différentes étapes :
- au stade de la déclaration de sinistre à réaliser à brefs délais au risque de compromettre la prise de garanties,
- lors du recours à des prestataires extérieurs pour les investigations, le conseil, la communication ou encore la reconstitution de données. Nombre de contrats prévoient l’accord écrit et préalable de l’assureur avant de mandater un prestataire.
- lors de l’enclenchement de procédures judiciaires éventuelles dont l’assureur doit être informé
Pour optimiser la gestion de crise, ces éléments doivent être documentés au sein procédures internes de gestion des incidents qui recouvrent à la fois des aspects techniques et juridiques.
***
Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droits des nouvelles technologies et de la communication et en droit de la propriété intellectuelle accompagne ses clients dans la gestion préventive du risque cyber ainsi que dans les réponses juridiques à apporter en cas de crise incluant l’audit des contrats d’assurance cyber. Nos équipes se tiennent à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Pour en savoir plus, rendez-vous ici.
[1] Article L113-4 du Code des assurances : « En cas d'aggravation du risque en cours de contrat, telle que, si les circonstances nouvelles avaient été déclarées lors de la conclusion ou du renouvellement du contrat, l'assureur n'aurait pas contracté ou ne l'aurait fait que moyennant une prime plus élevée, l'assureur a la faculté soit de dénoncer le contrat, soit de proposer un nouveau montant de prime. »