NotPetya, WannaCry, piratage d’une société d’évaluation de côte de crédit, vol de données chez un grand groupe hôtelier, Mirai botnet, failles Meltdown et Spectre … L’actualité mondiale a été marquée ces dernières années par la multiplication d’incidents de sécurité et d’attaques informatiques. Nul n’est épargné, et les conséquences économiques sont potentiellement très lourdes.
Au vu de ces risques, la cybersécurité est aujourd’hui une préoccupation de premier plan pour toutes les entreprises, quel que soit leur domaine d’activité et leur taille.
La prise en compte du risque cyber passe par la nécessité de s’assurer spécifiquement contre les risques cyber. Mathias Avocats vous en dit plus.
Attaque cyber et risques pour l’entreprise
La loi n°2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre dont nous vous parlions dans un précédent article fait peser sur de grandes entreprises l’obligation d’établir et mettre en œuvre un plan de vigilance. Ce plan doit viser à identifier les risques et prévenir les atteintes graves « envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l’environnement » qui seraient causés par l’activité de l’entreprise. Or de tels risques et de telles atteintes peuvent être causés par des cyberattaques. Par exemple, des infrastructures critiques de l’entreprise peuvent être mises hors service par un rançongiciel. Les conséquences de ce blocage peuvent, selon l’activité de l’entreprise, causer des atteintes graves à la santé ou à la sécurité des personnes. La prise en compte du risque cyber est donc essentielle dans le cadre du devoir de vigilance.
La question est tout aussi incontournable en matière de traitement de données à caractère personnel. Le Règlement européen sur la protection des données (RGPD) applicable le 25 mai 2018 renforce l’obligation des responsables du traitement et de leurs sous-traitants de garantir la sécurité et la confidentialité des données à caractère personnel traitées. Si des données sont dérobées par des tiers, le responsable du traitement sera contraint de remédier à la violation de données, encourra des sanctions de l’autorité de contrôle, court le risque de voir se former une action de groupe, etc.
Certains acteurs ont des obligations renforcées en matière de cybersécurité. C’est ainsi le cas de Opérateurs d’Importance Vitale (OIV) depuis la loi de programmation militaire pour 2014-2019, mais aussi des Opérateurs de Services Essentiels (OSE) et des Fournisseurs de Service Numérique (FSN) issus de la directive « Sécurité des Réseaux d’Information » (« Network and Information Security »), transposée en droit français par une loi du 26 février 2018. L’activité critique de ces acteurs nécessite qu’ils se protègent particulièrement contre les risques cyber.
Une attaque informatique ou un incident de sécurité peut avoir des conséquences lourdes sur le plan financier (amendes, dommages et intérêts versés, procédures judiciaires, investissements en urgence pour renforcer la sécurité informatique, frais de restauration des systèmes, etc.), sur l’image de l’entreprise (perte de confiance du public et des partenaires commerciaux, etc.), sur le fonctionnement de l’entreprise (déni de service, paralysie de l’activité, etc.).
Même si des mesures de cybersécurité importantes sont mises en place, le risque zéro n’existe pas et un incident de sécurité peut survenir. Ses conséquences financières peuvent s’avérer impossible à surmonter pour une entreprise qui n’est pas préparée. La souscription d’une police d’assurance appropriée doit donc faire partie de la politique de prévention des risques.
Le risque cyber est-il assurable ?
Pour les assureurs, évaluer le risque cyber présente des difficultés.
Le mécanisme de l’assurance repose sur la possibilité pour l’assureur d’évaluer et de prédire de manière fiable le risque financier lié au sinistre couvert en étudiant les sinistres passés. Or les menaces informatiques évoluent rapidement et constamment. Les modes opératoires des pirates informatiques, les typologies des attaques et des failles de sécurité ne sont pas les mêmes d’une année à l’autre. En conséquence, les assureurs ne trouvent qu’une valeur prédictive limitée dans l’étude des incidents passés, ce qui complique l’établissement de primes d’assurance équilibrées.
A l’heure actuelle, l’offre comme la demande d’assurance cyber en Europe sont faibles, mais en augmentation, contrairement au marché américain qui représentait 85 à 90% des primes annuelles en la matière en 2016 selon une étude menée en 2017 par le cabinet de courtage Aon Benfield.
Actuellement, le risque cyber est partiellement couvert par les contrats d’assurance traditionnels. Ces contrats permettent de couvrir certaines conséquences prévisibles de certaines menaces informatiques. Par exemple :
- Les contrats d’assurance couvrant les dommages aux biens peuvent trouver à s’appliquer si le fait générateur est une attaque informatique ayant rendu définitivement ou temporairement inutilisable une infrastructure de l’entreprise ;
- Les contrats de responsabilité civile peuvent couvrir les sinistres de responsabilité civile causés par une attaque informatique : engagement de la responsabilité d’un responsable du traitement en cas de violation de données à caractère personnel, inexécution contractuelle suite à une attaque informatique paralysant l’entreprise …
Il apparaît cependant nécessaire que les contrats d’assurance spécifiques au risque cyber se développent afin de couvrir l’ensemble des risques pour les entreprises.
Quels sont les avantages d’assurer spécifiquement le risque cyber ?
Assurer le risque cyber s’inscrit dans une démarche nécessaire de prévention du risque et de conformité à la réglementation.
Afin de s’assurer contre les risques informatiques, il sera nécessaire de faire le point sur les vulnérabilités de l’entreprise, par exemple via une cartographie des risques, l’analyse des vulnérabilités et l’évaluation des enjeux pour l’entreprise. Cela ne pourra que mener à une meilleure prise de conscience de l’exposition au risque cyber, et permettra d’arbitrer en toute connaissance de cause entre les dépenses de prévention et de protection et le transfert du risque à l’assurance.
De plus, l’assurance couvre l’aléa, qu’il soit dû à des attaques extérieures ou à des erreurs humaines. La prise en compte et la prévention de l’aléa permettra de faire survivre l’entreprise à l’imprévu que constitue l’incident de sécurité.
Dans ce cadre, souscrire à une assurance cyber permettra à l’entreprise de s’inscrire dans une démarche de prévention et de conformité à la réglementation.
Pour aller plus loin, n’hésitez pas à consulter le rapport « Commission Cyber Risk Tome 1 : Assurer le risque Cyber » publié par le Club des juristes.
Mathias Avocats est à votre disposition pour vous aider à assurer votre conformité à la réglementation.