Assurance cyber

Que recouvre le cyber risque ?

Qu’est-ce que le risque cyber ?

D’une manière générale, le cyber sécurité renvoie aux risques et menaces volontaires qui sont susceptibles de porter atteinte au patrimoine de l’entreprise. Ainsi, le cyber risque implique généralement un risque de pertes financières, d’interruption des activités de l’entreprise ou encore une atteinte à sa réputation.

Plus précisément, la cybercriminalité expose l’entreprise à différents risques, et notamment :

• au risque matériel et financier en cas de destruction de matériels à la suite d’un cyber attaque ;
• au risque de pertes d’exploitation en cas de pannes ou blocages de l’activité de l’entreprise ;
• au risque d’image en cas de mise à jour de vulnérabilités ou de vols ou pertes de données confidentielles ;
• au risque juridique en raison des sanctions financières auxquelles l’entreprise s’expose en cas de violation des différents textes applicables en matière informatique et de protection des données.

Face à ce phénomène, les assureurs ont développé depuis quelques années des garanties visant à protéger les entreprises contre la cybercriminalité.

Quels sont les moyens de se prémunir contre le cyber risque ?

Les méthodes de prévention simples des cyberattaques

Il n’est jamais inutile de rappeler qu’au-delà des couvertures assurancielles qui ont vocation à jouer à postériori, de nombreux moyens simples permettent de limiter efficacement les risques cybers.

Il s’agira, notamment :

• D’accorder une attention particulière à la mise en place des mots de passe du parc informatique et d’accès aux différents logiciels et messageries de l’entreprise. Il convient, notamment, de modifier régulièrement les mots de passe, mais également les varier au sein de l’entreprise afin qu’en cas de découverte d’un mot de passe, un hacker ne puisse pas entrer dans tous les systèmes.
• De sécuriser les systèmes wifi, qui constituent des portes d’accès privilégiées pour les hackers.
• De limiter l’accès aux données sensibles.
• D’installer des systèmes de protection informatiques, tels que des pare-feu qui permettent la surveillance et le contrôle des applications et des flux de données.

Les méthodes plus élaborées de prévention des cyberattaques

Au-delà des mesures simples, mais toujours efficaces, pour lutter contre les attaques cybers, il existe des méthodes plus élaborées, impliquant la mise en place d’actions coordonnées. 

Il s’agit, notamment, de la mise en place :

• de cartographies des vulnérabilités et des risques cybers ;
• de plans de sauvegarde ;
• d’un programme d’assurance dédié ;
• d’un programme de gestion de crises.

La mise en place de ces programmes doit être réalisée en fonction de besoins réels de l’entreprise. Tout programme d’assurance doit donc être adapté aux vulnérabilités et aux risques spécifiques de l’entreprise.

Il est ainsi impératif que l’entreprise se face assister par des professionnels compétents, travaillant avec l’ensemble des protagonistes que sont les courtiers d’assurance et les entreprises d’assurance elles-mêmes ou des experts techniques et informatiques.

Qu’est-ce qu’est l’assurance cyber ?

L’assurance est un nouveau marché en cours de développement

L’assurance est encore un marché naissant, que les assureurs essaient d’apprivoisés au fil des attaques informatiques et des dossiers traités. A cet égard, et comme l’actualité en fait l’écho, il apparaît que tant le nombre que l’ampleur des cyberattaques est en pleine explosion.

Ainsi, par exemple, entre 2019 et 2020, les études montrent que le coût des cyberattaques pour les assureurs présents sur le marché français a été multiplié par trois. L’année 2021 semble, par ailleurs, déjà être une année record.

Ces évolutions vont nécessairement venir impacter le marché de l’assurance cyber, qui devrait donc considérablement évoluer dans les prochaines années. Assurément, les évolutions concerneront les mesures de prévention, la majorité des cyberattaques étant évitables par la prise de mesures appropriées. 

Quelles sont les garanties d’assurance cyber actuellement proposées par les compagnies d’assurance ?

On trouve, d’une part, les contrats de dommages aux biens qui couvrent notamment les incendies, dont ceux qui ont pour origine une cyberattaque. Ce sera typiquement le cas en cas de cyberattaques visant un appareil connecté, dont l’échauffement pourra provoquer un incendie.

Il y a, par ailleurs, les contrats cyber, qui proposent différentes garanties spécifiques en cas d’attaque. Ces garanties sont contractuellement déterminées par les parties. Parmi les garanties spécifiques souvent proposées, on trouve notamment les indemnisations au titre des :

• frais de reconstitution et de restauration des données perdues à la suite d’un incident de sécurité ;
• frais de décontamination de maliciel à la suite d’un incident de sécurité ;
• frais de remise en ligne du site endommagé ;
• pénalités à la suite d’un incident de sécurité ;
• pertes résultant d’une cyber-fraude ;
• pertes résultant d’un piratage téléphonique ;
• frais de cyber extorsion ;
• frais supplémentaires d’exploitation à la suite d’un incident de sécurité ;
• les honoraires d’une société spécialisée dans le but d’identifier la faille sécuritaire ;
• le montant de la rançon ;
• les honoraires de communication de crise ;
• les frais de notification aux propriétaires de données qui permettent d’identifier les personnes concernées.

En parallèle, les contrats d’assurance cyber proposent souvent également des garanties plus classiques, du type pertes d’exploitation ou responsabilité civile dans le cas où des tiers engageraient des actions à l’encontre de l’entreprise à la suite de pertes ou d’un détournement de données.

Exemples de sinistres impliquant une cyberattaque

Exemple de mobilisation de la garantie pertes d’exploitation en cas de cyberattaque

Le cas d’école qui peut conduire à la mobilisation de la garantie pertes d’exploitation est si, à la suite d’une attaque informatique, une entreprise perd l’intégralité de sa base client. L’entreprise ne peut plus alors livrer ses clients à temps, ce qui génère mécaniquement une perte d’exploitation importante.

Dans ce cas, la défaillance causée à la suite de la cyberattaque relève de la garantie pertes d’exploitation, et sera donc indemnisée.

Exemple de mobilisation des garanties cyber spécifiques en cas de cyberattaque

Dans le cas, par exemple, où le système informatique de l’entreprise est contaminé par un virus avec pertes des données, l’entreprise pourra mobiliser son assurance cyber pour :

• procéder à la décontamination de son système informatique ;
• procéder à la reconstitution ou la restauration des données ;
• éventuellement engager une action judiciaire à l’encontre du responsable de l’attaque dans le cas où ce dernier serait identifié.

Pourquoi faire appel à un avocat disposant d'une expertise en assurance cyber ?

Face au risque cyber, différents types d’action doivent être menées. Il y a naturellement tout ce qui vise à anticiper le risque. Cela consistera notamment à mettre en place un plan de veille et d’anticipation des menaces cyber, ainsi qu’à analyser et évaluer les vulnérabilités de l’entreprises et de ses ressources digitales.

L’anticipation du cyber risque pourra ainsi passer par la réalisation d’audits et de cartographies des risques cyber en lien avec le courtier d’assurance, l’entreprise d’assurances et/ou un expert technique, afin de mettre en place un programme d’assurances dédié.

Il s’agira, ensuite, de procéder à la gestion des polices d’assurances afin de s’assurer de l’adaptation des programmes de couverture d’assurances dans le temps aux activités de l’entreprise et à l’évolution du risque cyber.

En cas de sinistre, il s’agira d’immédiatement procéder à l’évaluation des dommages et des préjudices subis, ainsi qu’à la prise de mesures conservatoires pour permettre à l’entreprise de poursuivre son activité. L’ensemble de ces activités justifient d’avoir recours à un avocat en droit des assurances afin de pouvoir gérer l’ensemble des facettes qu’implique le risque cyber.

Le cabinet parisien Balme-avocat sera ainsi susceptible d’apporter une assistance à tous les stades des mesures concernant le cyber risque :

• dans l’analyse et la cartographie des risques cyber ;
• dans la mise en place d’un programme d’assurances cyber dédié ;
• dans la gestion des polices d’assurances ;
• dans gestion des sinistres cybers en procédant à l’analyse des dossiers et en déterminant les actions à engager dans les meilleurs délais ;
• en apportant toute assistance dans le cadre d’éventuelles négociations amiables ;
• en apportant une assistance dans les opérations de chiffrage des préjudices, notamment dans le cadre d’une expertise amiable ou judiciaire ;
• en engageant toute action judiciaire en indemnisation.

Balme-avocat, cabinet doté d’une expérience de plus de 10 ans dans le droit des assurances et les expertises techniques, qui intervient à Paris et sur toute la France, saura répondre à vos déférents besoins en matière d’assurance cyber.