Cybersécurité : quels éléments inclure dans une police d’assurance ?

Paru dans #MagCAPIDF, septembre 2023

Par Jérôme Goy, avocat en droit des assurances chez Enthémis

Près de 70 % des TPE/PME françaises sont ciblées par les cyberattaques. Le contexte sanitaire n’a fait qu’aggraver les choses : celles-ci ont augmenté de 400 %. Compte tenu de ce risque croissant, les entreprises sont contraintes de souscrire des polices d’assurances spécifiques, d’autant plus que les assureurs les excluent chaque jour davantage de leurs autres contrats.

Récemment, le Parlement a voté la création de l’article L12-10-1 du Code des assurances, entré en vigueur le 24 avril 2023, conditionnant l’indemnisation par l’assureur au dépôt d’une plainte de l’assuré dans un délai de 72h. Cette mesure a pour but « d’objectiver » les cyberattaques et de leur donner une date vis-à-vis des compagnies d’assurance (comme pour le vol). La police d’assurance cybersécurité vise à garantir les pertes liées aux conséquences financières de la cyberattaque, notamment en cas d’atteinte aux données personnelles ou au système informatique de la société victime. Toute entité procédant à la collecte, au stockage ou traitement de la donnée et pour laquelle l’atteinte au système informatique aurait des conséquences majeures sur sa productivité, est concernée par le risque de cybersécurité. Ce type de garantie peut être soit inclus dans un contrat d’assurance de dommages aux biens, soit faire l’objet d’un contrat ad hoc.

Quelques points préalables à vérifier

Comme dans tout contrat d’assurance, certains points préalables doivent être vérifiés :

  • D’une part, les éléments garantis dans les polices d’assurances classiques, telles que l’atteinte au système informatique et aux données personnelles des entreprises.
  • D’autre part, l’existence d’une police d’assurance cyber spécifique ou l’extension d’un contrat préexistant, la définition du « périmètre informatique », la définition du terme « tiers » (qui détermine la mise en jeu de l’assurance de responsabilité), la définition exacte et à jour de l’activité de l’entreprise assurée, des sous-traitants et préposés, les dépenses garanties (frais) et l’estimation du plafond de garantie idoine.

Des garanties spécifiques liées à la cybersécurité

Au préalable, il convient d’introduire une clause « rançongiciel » afin de garantir la cyberextorsion et l’échange des données personnelles de l’entreprise victime (pour éviter l’altération, la destruction ou la communication de ces données). Par ailleurs, l’intervention de l’assureur et le recours à des spécialistes/informaticiens doivent être prévus. Il convient de s’assurer de la portée de la définition « dommage immatériel » comprenant les divers préjudices occasionnés par la cyberattaque (notamment les dommages au système informatique), les données personnelles de l’entreprise et/ou des tiers (vol, détournement, reproduction, transfert, altération, diffusion, destruction), blocage des serveurs et paralysie de l’unité de production. Les préjudices économiques doivent être inclus dans la police pour la perte d’exploitation suite à l’interruption de l’activité ou la perte de clientèle, l’entrave au fonctionnement de l’entreprise et la fraude par usurpation/vol des données.
Une cyberattaque peut également porter atteinte aux droits tels que le droit au respect de la vie privée, le droit à l’image et le droit à la propriété intellectuelle (droit des marques, brevets, d’auteur) par le vol d’idées/concepts, le plagiat ou le détournement. Pour se voir accorder une meilleure couverture, il convient donc de se fonder sur l’évènement assuré (et non sur la date de déclaration du sinistre). Il convient de s’assurer dans la police de la portée des « dommages matériels » en cas de panne, de bris de machine ou d’incendie due à un dysfonctionnement des ventilateurs du système informatique.
« POUR SE VOIR ACCORDER UNE MEILLEURE COUVERTURE, IL CONVIENT DE SE FONDER SUR L’ÉVÈNEMENT ASSURÉ ET NON SUR LA DATE DE DÉCLARATION DU SINISTRE. »

La responsabilité civile de l’entreprise

Celle-ci doit être garantie en cas de divulgation des données du tiers, en cas d’erreur humaine ou effets du courant. Une couverture des frais engagés doit être prévue dans l’hypothèse d’une action en justice, une demande de dommage et intérêt du tiers ou de la mise en œuvre de la responsabilité de l’entreprise au regard du RGPD. Enfin, l’élargissement des clauses du contrat est essentiel par l’inclusion d’une couverture des frais d’atténuation du risque (couverture des frais raisonnables et nécessaires pour prévenir la survenance d’une réclamation à l’encontre de l’assuré).

La police doit également prévoir l’introduction d’une clause suffisamment large pour une meilleure couverture des frais liée à la menace d’extorsion ou à l’extorsion par l’indemnisation liée à la cyberextorsion, le recours à un consultant, traducteur, interprète, ou les frais et honoraires engagés auprès d’un « consultant cyberextorsion », les frais de défense (avocat), les frais d’enquête/analyse forensique, les frais de restauration du système informatique et des supports de données etc, les frais de gestion de crise (audit de vulnérabilité), les frais de notification, les fonds, frais et intérêt d’emprunt contracté par l’assuré pour le paiement de la cyberextorsion et les frais d’enquête et sanctions par une autorité administrative (en cas de non-respect du RGPD par exemple).

Enfin, attention aux clauses d’exclusions propres aux polices cyber, telles que les exclusions liées aux compétences des juridictions françaises ou étrangères (impact sur le choix du demandeur), la panne du serveur ou encore la cyberfraude.

Paru dans #MagCAPIDF

ARTICLES CONNEXESPLUS DE L'AUTEUR