Par Emmanuèle Lutfalla, associée, Déborah Azerraf, avocate, et Alice Decramer, avocate, Signature Litigation

La Fédération française de l’assurance a publié son baromètre des risques émergents pour l’année 2019. A l’horizon cinq ans, le risque cyber demeure en tête des risques principaux.

Notre société est dominée par une digitalisation croissante et une forte dépendance aux systèmes informatiques. La majorité des entreprises a un recours massif au cloud et chacun dans les années à venir disposera d’au moins trois objets connectés sur lui. Cela va s’accompagner d’une augmentation croissante de l’exposition corrélative au risque cyber, que l’incident soit le fait d’un salarié malintentionné et/ou négligent ou d’une attaque par un tiers.

Les exemples d’incident cyber les plus fameux que nous connaissons sont ceux des attaques Wannacry et NotPetya en mai et juin 2017 dont les conséquences, estimées à plusieurs milliards de dollars, restent encore à évaluer, qu’il s’agisse par exemple de la fermeture d’usines ou de services de chirurgie d’hôpitaux en France et ailleurs.

De façon peu surprenante, le marché de l’assurance a connu depuis lors une augmentation du taux de souscription des contrats d’assurance cyber, passant ainsi de 26 % en 2016 à plus de 50 % en 2019.

En France, pourtant, à l’inverse des US où le marché est déjà mature, le risque cyber reste toutefois encore perçu comme étant à la limite de l’assurabilité.

Il est perçu comme étant difficile à cerner parce que trop récent, par définition sans antériorité. Les assureurs doivent aussi faire face à la réticence des entreprises à diffuser leurs incidents à des tiers, y compris leurs assureurs, ce qui rend quasi-impossible d’évaluer correctement la prime corrélative.

Ce d’autant que les méthodes d’analyse revêtent malgré tout un caractère empirique, sans véritable standardisation de l’incident caractéristique et discriminant et qu’il n’existe pas aujourd’hui d’organisme collecteur capable d’intégrer une base de données fiable et accessible.

On ne peut que s’interroger sur les pertes potentielles liées aux conséquences d’un incident cyber qui n’auraient pas été anticipées en amont par les primes encaissées, les assureurs pouvant alors être sérieusement ébranlés par cette atteinte à leur capacité d’indemnisation. Si ce scénario catastrophe n’est pas encore survenu, on ne peut ignorer les conséquences incontrôlables d’un incident cyber à l’échelle mondiale.

A titre d’exemple, le virus NotPetya s’est propagé à partir d’une mise à jour d’un logiciel de comptabilité ukrainien jusqu’à contaminer la Grande-Bretagne, la Norvège, les Pays-Bas et la France en seulement cinq heures. Dans le cas de l’attaque Wannacry, c’est une faille du système d’exploitation Microsoft Windows dont les mises à jour de sécurité n’avaient pas été effectuées qui a engendré les conséquences colossales que l’on connaît.

Il n’est donc plus possible de raisonner à partir d’un risque pris isolément, mais en prenant en compte l’ensemble des acteurs de l’écosystème auquel l’assuré appartient. De là à vouloir transposer la notion de «sécurité interdépendante» développée en matière de terrorisme, il n’y a qu’un pas.

Examinons maintenant l’offre disponible sur le marché.

Les polices traditionnelles sont toujours souvent actionnées par exemple en cas de piratage de données bancaires des utilisateurs d’un site internet ou de pertes d’exploitation consécutives à un incident cyber par exemple non intentionnel et l’incident cyber, bien que non formellement identifié comme tel dans la police, pourrait être pris en charge comme relevant du «silent cyber».

Toujours dans ce cadre, on a constaté aussi la signature d’avenants «risque cyber» ou l’augmentation des lignes d’assurances existantes.

De la même manière, les polices «Tous risques sauf», souvent préférées par les PME, constituent la meilleure option, souvent démunies face à un risque qu’elles ne peuvent correctement appréhender. Ainsi, à défaut d’exclusion pour les dommages causés par un virus, ces polices devraient pouvoir être actionnées en cas d’incident cyber.

Mais dans ces cas, il apparaît que plusieurs polices peuvent couvrir le risque, aboutissant souvent à des cumuls de garanties ou d’assureurs pour un même risque, source de complexité souvent au détriment de l’assuré face à une situation de crise lorsque l’incident survient et qu’il doit être pris en charge dans l’urgence.

C’est justement pour accompagner l’assuré en amont de la crise et l’aider à définir un niveau de protection, puis, en cas d’incident, lui offrir un service adapté avec numéro d’urgence et cellule de crise comprenant des spécialistes de la sécurité, que certains assureurs ont décidé de développer une offre ciblée, d’abord dédiée aux grandes entreprises, et aujourd’hui aux PME.

Mais ces polices dédiées sont encore relativement peu souscrites ; elles sont jugées peu claires, avec souvent des exclusions bloquantes, telles que les conséquences de l’atteinte à l’image et la réputation de l’entreprise qui sont pourtant des postes de préjudice non négligeables en cas de cyber incident. A titre d’exemple, le cours de l’action de l’agence de crédits Equifax avait perdu 35 % en une semaine suite à une attaque cyber.

En outre, le risque cyber à prendre en compte est incontestablement différent selon que le produit est destiné à une entreprise du CAC 40, une PME, un acteur du secteur informatique, du secteur financier ou un fournisseur, ce qui pourrait inciter des assureurs à se spécialiser dans un certain type d’incident cyber ou un secteur d’activité plutôt que d’essayer de proposer des polices génériques.

Avec la même logique, les assureurs pourraient, tout en conservant les modèles d’incidents cyber déjà identifiés, dresser un profil de risque personnalisé plutôt que chercher à standardiser des profils. A cet égard, les réassureurs joueront certainement un rôle important, puisqu’ils réclameront de leurs clients assureurs d’être en mesure de détailler leur exposition au risque cyber pour accepter de réassurer.

L’un des enjeux est aussi manifestement celui du niveau de résilience que les compagnies d’assurances peuvent exiger de leurs assurés : quel produit antivirus faudrait-il installer ? A partir de combien de temps l’absence d’une mise à jour pourrait entraîner le refus de couverture ?

Même en cas d’amélioration notable des polices, les entreprises n’auront-elles pas toujours cette réticente à partager avec les assureurs des informations jugées confidentielles ou relatives au niveau de protection réelle de leur système informatique.

L’Etat n’aurait-il pas ici un rôle à jouer dans l’évaluation de ce risque et la collecte des données liées aux incidents cyber. Il est vrai que la communication des informations collectées dans le cadre des déclarations obligatoires faites aux autorités permettrait aux assureurs de procéder, dès la souscription, à une analyse approfondie du risque et ainsi proposer des polices véritablement sur mesure. Ainsi, si le RGPD, imposant désormais de notifier à la CNIL toutes atteintes aux données personnelles dans un délai de soixante-douze heures et de réaliser une notification individuelle à toutes les personnes concernées, n’a pas pour objet de constituer une telle base de données des incidents cyber qui touchent les entreprises en Europe, il pourrait en être l’outil.

La révolution digitale est en marche et les assureurs sont contraints de s’adapter en développant à travers des produits d’assurances, des outils pointus de prévention et de protection en cas d’attaque. A défaut, un marché parallèle de prévention et de gestion du risque cyber, confié notamment à des prestataires de sécurité spécialisés en cyber, qui proposent des services de détection, de prévention et de remédiation du risque cyber pourrait s’y substituer en tout ou partie. On voit aussi des entreprises pionnières du CAC 40 mettre à disposition des obligations dédiées émises sur le marché des capitaux, plutôt que par l’intermédiaire des entreprises d’assurances.