Blog ENI : Toute la veille numérique !
🎁 Jusqu'au 25/12 : 1 commande de contenus en ligne
= 1 chance de gagner un cadeau*. Cliquez ici
🎁 Jusqu'au 31/12, recevez notre
offre d'abonnement à la Bibliothèque Numérique. Cliquez ici
  1. Livres et vidéos
  2. Guide juridique de la cybersécurité
  3. Couverture assurantielle adaptée au risque cyber
Extrait - Guide juridique de la cybersécurité Mettre en place un bouclier légal pour se protéger, se défendre et réagir
Extraits du livre
Guide juridique de la cybersécurité Mettre en place un bouclier légal pour se protéger, se défendre et réagir Revenir à la page d'achat du livre

Couverture assurantielle adaptée au risque cyber

Introduction

L’explosion des cybermenaces et les conséquences financières qui en découlent invitent à s’interroger sur leur couverture assurantielle de ce type particulier de risque.

À ce titre, la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’Intérieur (LOPMI), entrée en application le 24 avril 2023, invite les entreprises à réévaluer leurs risques, les garanties souscrites et les procédures internes de gouvernance en matière de gestion juridique des incidents. 

Une gouvernance efficiente des risques cyber pourra ainsi englober plusieurs actions importantes : un audit des polices d’assurance mobilisables, la souscription d’une politique d’assurance cyber spécifique, le cas échéant, la mise en œuvre de procédures internes de gestion des incidents adaptées aux exigences de la loi LOPMI.

Auditer ses polices d’assurance mobilisables

Les menaces cyber exposent les entreprises à un ensemble de risques matériels, économiques, ou encore réputationnels, non seulement liés à la remédiation d’incident, mais également à ses suites. Tel peut notamment être le cas en cas de publicité de l’incident susceptible d’induire une perte de confiance des clients ou partenaires, en cas de recours de tiers en indemnisation ou de sanction d’une autorité de contrôle compétente telle que la CNIL.

Il est dès lors nécessaire que ces risques soient anticipés, assurés et provisionnés le cas échéant. La première étape indispensable consiste à effectuer en amont, un bilan des garanties existantes en auditant les polices d’assurance souscrites.

1. La nécessité de réaliser un audit de la couverture assurantielle

Pourquoi réaliser un tel audit ? Il est très probable que l’entreprise ait conclu divers contrats d’assurance, selon son activité, avec un ou plusieurs organismes. De ce fait, les garanties qu’ils offrent viennent souvent se cumuler voire pire, l’entreprise en vient à omettre un risque qui se retrouve sans couverture.

Cet enchevêtrement d’assurances prête également à confusion en raison de leurs différentes dénominations telles que « Multirisque pro », « Responsabilité civile pro » ou « Tous risques ». Ce foisonnement provient parfois directement du législateur. Ainsi, un arrêté du 13 décembre 2022 est venu modifier les catégories prévues par le code des assurances (1) pour introduire une distinction entre les assurances destinées aux dommages aux biens consécutifs aux atteintes aux systèmes d’information et de communication, et celles dédiées aux pertes pécuniaires consécutives aux mêmes atteintes. Les assureurs se trouvent dès lors dans l’obligation d’opérer une distinction dans leurs garanties.

Dans ces circonstances, il est devenu complexe pour les assurés de déterminer si leurs risques sont couverts, et par quel contrat....

Souscrire et maintenir une police d’assurance spécifique adaptée

Avec l’accélération de la transition digitale, le risque informatique pénètre l’ensemble des secteurs : acteurs de la santé, groupes industriels, entreprises du numérique, administrations étatiques, collectivités territoriales, établissements publics. Tous les acteurs sont concernés, quel que soit le secteur d’activité.

Toutefois, les assurances traditionnelles ne couvrent pas suffisamment l’ensemble des risques cyber lesquels varient selon les secteurs : les polices d’assurance spécifiques se présentent bien souvent comme une nécessité. En effet, l’assurance cyber a vocation à compléter les assurances courantes de type multirisque et responsabilité civile.

Or, selon une étude de l’Association pour le management des risques et des assurances de l’entreprise (Amrae), seuls 8 % des entreprises françaises de moins de 5 000 salariés disposaient d’une assurance cyber contre 87 % des grandes entreprises en 2021 (3).

1. Identifier la police d’assurance spécifique adaptée

Une fois l’audit d’assurance achevé, l’entreprise peut alors chercher une couverture spécifique pour se protéger contre les risques liés à la cybersécurité si celle-ci apparaît manquante ou insuffisante. En effet, à la suite de cet audit, l’entreprise dispose d’une meilleure visibilité sur les risques déjà couverts par ses polices d’assurance dites traditionnelles et ceux restant à couvrir.

Cette assurance cyber viendra couvrir les risques directs (conséquences...

Les procédures internes de déclaration de sinistre

1. Les nouvelles exigences issues de la loi LOPMI

La loi LOPMI prévoit désormais qu’une police d’assurance cyber peut garantir toutes les conséquences d’un sinistre informatique, y compris les coûts de remédiation, les pertes d’exploitation et les cyberrançons.

Les dispositions issues de cette loi s’appliquent à tous types de cyber attaques (rançongiciels, hameçonnages, vol de données, attaques par déni de service, etc.) et à tous les contrats d’assurance, y compris les contrats en cours.

Néanmoins le champ d’application de la loi est limité aux personnes physiques (particuliers, indépendants, etc.) et morales (entreprises, associations, administrations publiques) victimes de cyberattaques dans le cadre de l’activité professionnelle, à l’exception des particuliers.

En contrepartie, obligation est faite aux victimes d’attaques informatiques de porter plainte auprès des autorités compétentes sous 72 heures suivant la prise de connaissance par l’assuré de l’atteinte, autrement dit lorsque l’assuré constate les dommages occasionnés par une attaque cyber. Faute de quoi, l’assuré serait par principe privé de tout droit à indemnisation....

Références

(1) Article A344-2 du code des assurances

(2) ACPR Banque de France, Communiqué de presse, 12 novembre 2019 « La distribution des garanties contre les risques cyber par les assureurs ».

(3) Association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE), « Lumière sur la Cyberassurance », édition 2021.

(4) ANSSI, AMRAE, « Maîtrise du risque numérique », L’atout confiance, p. 28.