Les entreprises face au risque cyber : une construction assurantielle nécessaire mais incomplète

Depuis les années 90, un nouveau risque apparaît pour les entreprises : les cyberattaques. Ces dernières se sont faites de plus en plus fréquentes ces dernières années. Ainsi, selon une étude du Cesin (Club des experts de la sécurité de l’information et du numérique), une entreprise française subissait en moyenne 29 attaques par an en 2016. Aujourd’hui, le coût d’un incident cyber varie entre 200 000 et 1,3 million d’euros pour les PME dans le monde. Et pourtant, même face à ces chiffres, peu d’entreprises sont réellement assurées en France et dans le monde contre ce type de risques qui, selon le baromètre 2019 des risques émergents, établi par la Fédération Française de l’Assurance, sont considérés comme le risque majeur pour les sociétés d’assurance et de réassurance.

 

Jusqu’à présent, les entreprises se sont majoritairement assurées contre les risques cyber en se reposant sur les polices d’assurances traditionnelles. Dans ce cas, on parle alors de couverture silencieuse du risque cyber. Cela signifie que le risque cyber n’est pas expressément mentionné, mais qu’il est implicitement inclus.

Le principal problème face à cette « silent cover » est que les entreprises sont dès lors subordonnées à leurs assurances qui peuvent leur exposer des clauses d’exclusion à tout moment. C’est notamment ce qui est arrivé à l’entreprise de confiserie américaine Mondelēz. Cette dernière, suite à l’attaque de ses serveurs par le virus NotPetya, avait tenté de faire jouer son assurance. Néanmoins, après que le ministre des affaires étrangères britannique ait attribué l’attaque au Kremlin, la compagnie d’assurance de Mondelēz leur a finalement opposé une clause d’exclusion concernant les actes hostiles ou liés à des guerres.

Un second problème se matérialise à travers le fait que les polices d’assurance traditionnelles ne couvrent pas la totalité des coûts engendrés par les cyberattaques. A titre d’exemple, les assurances « dommages aux biens » protègeront les pertes matérielles mais pas les pertes de données ainsi que les conséquences de ces pertes sur l’exploitation.

Pour beaucoup, et notamment selon l’éminent professeur Michel Séjan et son article « Les cyberassurances, un contrat encore méconnu dans les entreprises », la souscription des entreprises à des cyberassurances apparaît alors comme la solution. Cependant, les cyberassurances sont encore largement méconnues que ce soit dans le milieu entrepreneurial ou dans le milieu assurantiel. Ces cyberassurances présentent plusieurs avantages. Elles seraient plus à même de protéger les fonds propres des entreprises ainsi que de leur fournir un accompagnement complet dans la gestion de ce nouveau risque que ce soit avant ou après sa concrétisation. La souscription à une cyberassurance permettrait donc de palier les défauts de la protection offerte par les polices d’assurances traditionnelles contre le risque cyber.

 

Toutefois, même si les cyberassurances se profilent comme la solution miracle pour les entreprises se trouvant confrontées au risque cyber, elles sont loin d’être suffisantes et abouties.

Tout d’abord, les cyberassurances ne sont que secondaires et la souscription à de telles assurances n’affranchit pas les entreprises de la mise en place ou de l’amélioration de leur système de protection face aux cyberattaques. Elles ne viennent qu’en plus de la protection et ne doivent pas s’y substituer.

Mais le problème majeur concernant les cyberassurances reste celui de la fluctuation importante des primes de ces assurances. Cette fluctuation s’explique par un manque de données historiques servant de base à l’établissement des prix ainsi que par la volonté des compagnies d’assurances de se protéger elles-mêmes face à l’occurrence de tels risques. En effet, la particularité du risque cyber est que lorsqu’il se concrétise, il peut toucher un nombre important d’entreprises ce qui contraindra les compagnies d’assurances à débloquer des sommes très importantes dans un temps très restreint.

De ce fait, de nombreuses entreprises remettent en cause l’intérêt économique à souscrire à de telles assurances.

 

Référence :

« Les cyberassurances, un contrat encore méconnu dans les entreprises », Michel Séjan (professeur agrégé en droit privé et science criminelle de l’Université de Bretagne Sud, Vannes), Gazette du Palais, 5 mai 2020, 140e année, n°1.

Lien vers la décision de justice américaine sur le cas Mondelēz :

https://www.databreachninja.com/wp-content/uploads/sites/63/2019/01/MONDELEZ-INTERNATIONAL-INC-Plaintiff-v-ZURICH-AMERICAN-INSURANCE-COMPANY-Defenda.pdf