Par Gérard Haas et Stéphane Astier
Le 12 novembre 2019, l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) a publié un important communiqué de presse pour le secteur de l’assurance.
Après une série de contrôles effectués sur la distribution de garanties contre les risques cyber, cette autorité - attachée à la Banque de France - soulève plusieurs questions impactant fortement l’organisation de la gestion de ce type de risque et ce tant du côté des compagnies d’assurance que du côté des assurés.
L’ACPR relève qu’en dépit de l’importance de ce marché qui devrait représenter au niveau mondial 8 ou 9 milliards de dollars de primes brut à horizon 2020, les contrats spécialisés en risque cyber demeurent peu développés en France. Les organismes publics ou privés, tous concernés par ce big bang annoncé, sont en effet encore trop peu sensibilisés aux risques multiples d’exposition et ce, en dépit des nombreuses mises en garde effectuées par les autorités et de l’explosion des attaques qui agitent régulièrement l’actualité.
Il en va de même des compagnies d’assurance, jugées trop peu informées des garanties et des couvertures proposées dans leur propre contrat lorsque ces garanties sont implicites...
L’occasion de revenir sur plusieurs axes de réflexions :
1. Du côté des compagnies d’assurance
L’ACPR dresse tout d’abord un constat qui s’appuie sur la distinction à opérer entre deux formes de couvertures du risque cyber :
- Les garanties explicites: dans ce cas la compagnie d’assurance mentionne de manière explicite des garanties dédiées au risque cyber incluant des règles de souscription, de prévention et d’organisation spécifique pour effectuer un suivi efficace de la sinistralité et de la réassurance. Bien que les compagnies d’assurance aient la plupart du temps opté pour une organisation ad hoc avec des offres standard ou sur-mesure adossées à des actions de sensibilisation et de prévention, le manque d’historique de la sinistralité et l’absence de base de données fiable alimentée par des données homogènes, répertoriées selon une nomenclature stable et partagée, rend la gestion du risque et de la réassurance délicate.
- Les garanties implicites: dans ce cas, le contrat ne vise pas expressément le risque cyber comme fait générateur mais il est susceptible de le couvrir. C’est le cas par exemple de certaines garanties multirisques proposées aux entreprises ou aux professionnels. Faute de réalisation d’une cartographie des risques contenus dans le portefeuille traditionnel, certaines compagnies d’assurance ont peu de visibilité sur leur exposition aux garanties implicites ce qui est source d’une forte insécurité juridique.
Quelles actions sont à mener ?
Pour s’assurer que la compagnie est bien gérée et qu’elle est en mesure de calculer et maîtriser ses risques, l’ACPR recommande de procéder à une évaluation exhaustive de l’exposition du portefeuille au risque cyber avec une attention particulière aux garanties implicites.
Il appartient également aux compagnies d’assurance de clarifier les définitions et la terminologie relatives aux risques afin d’informer efficacement les preneurs d’assurance et de construire des bases statistiques efficientes en vue de délimiter les garanties avec des tarifications pertinentes.
Ces actions seront à mener conjointement avec des mesures de sensibilisation forte de l’ensemble de la chaîne des acteurs tant du côté des assurés que des forces commerciales dédiées à la promotion des couvertures cyber.
2. Du côté des assurés
Toute la difficulté réside pour les assurés dans l’identification du risque cyber et dans les conséquences possibles d’une attaque pour son organisation.
Suivant les garanties – implicites ou explicites – le risque couvert intégrera les pertes d’exploitation, la reprise d’activité suite à l’indisponibilité du système d’information, les conséquences d’actes de malveillance ou d’erreurs humaines, ou encore les conséquences pécuniaires des réclamations introduites par des tiers à son encontre suite à un engagement de responsabilité.
Encore faut-il savoir si les polices d’ores et déjà souscrites couvrent déjà ces différents risques ? Et qu’en est-il du risque de sanction de la CNIL en cas de non-conformité à la loi informatique et libertés du 6 janvier 1978 modifiée ou du Règlement Général Européen sur la Protection des Données entré en vigueur le 25 avril 2018 (RGPD) ? Cette question est à fort enjeu compte tenu du caractère substantiel des amendes potentielles (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial). Et pour cause, il se pourrait que cette question n’ait pas la même réponse suivant la compagnie d’assurance concernée.
De même, il est possible de s’interroger sur l’opposabilité ou l’effectivité de la souscription à une police cyber-risque lorsqu’il s’avère - une fois le sinistre ouvert - que l’assuré se trouve dans une situation de non-conformité patente qui le place en violation des exigences légales de sécurisation de ses systèmes d’information. Rappelons sur ce point que le RGPD impose à chaque responsable de traitement de mettre en œuvre les mesures organisationnelles et techniques dédiées à la sécurisation de ses données. Le défaut de maintenance de serveur, de réalisation de mises à jour essentielles, ou encore l’absence de sauvegarde permettant de rétablir un système ne seraient-ils pas de obstacles à l’activation de prise en charge des conséquences dommageables d’une attaque qui aurait paralysé l’activité de l’entreprise pendant plusieurs jours et conduit à une perte massive de données ? Là encore, la lecture attentive de la police d’assurance souscrite pourra seule permettre de répondre à cette question avec parfois des mauvaises surprises aux conséquences potentiellement dramatiques.
Quelles actions mener ?
La gestion du cyber-risque doit être appréhendée sur le terrain technique, cela ne fait aucun doute. Le terrain assurantiel doit également s’imposer au regard des enjeux en cause.
Mais il ne saurait être oublié la gestion juridique du cyber-risque qui doit s’entendre tant au niveau préventif (création d’un référentiel sécurité, sensibilisation du personnel au risque cyber, réalisation de test d’intrusion, mise en œuvre d’analyse d’impact sur les traitements de données à caractère personnel à risque, désignation d’un DPO etc.) qu’au niveau curatif (notifications CNIL/ANSSI, fixation des preuves, plaintes etc.).
C’est en effet par la sensibilisation des assurés au risque cyber, à leur accompagnement dans la mise en conformité juridique de leurs traitements de données au regard du RGPD que les professionnels du droit participent activement à la prévention des risques. La négociation et l’analyse des polices d’assurance visant à identifier le niveau de couverture qu’il soit explicite ou implicite, l’accompagnement dans la gestion des sinistres seront également des axes forts d’intervention.
*****
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans la gestion préventive du risque cyber ainsi que dans les réponses juridiques à apporter en cas de sinistres. Si vous souhaitez avoir plus d’information sur les mesures nécessaires à mettre en place, Contactez-nous ici