Face aux cyberattaques de plus en plus nombreuses et massives, la sécurité des réseaux et de l’information est devenue l’une des préoccupations majeures des entreprises en France et dans tous les pays du monde.
Les enjeux sont importants : piratage des systèmes de traitement automatisé de données (STAD), usurpation d’identité, perte d’informations confidentielles et stratégiques, pertes de marchés, vol de données personnelles, e-réputation etc. et lourds de conséquences sur le plan financier.
En 2014, selon une étude menée par le groupe PwC, le nombre de cyber-attaques recensées a augmenté de « 48 % dans le monde pour atteindre un nombre total de 42,8 millions, soit l’équivalent de 117 339 attaques par jour. Depuis 2009, les incidents détectés ont progressé de 66 % en moyenne par an ».
Paradoxalement, malgré l’augmentation des cyberattaques et du coût annuel moyen attribué aux incidents de cybersécurité, qui a atteint 2,7 millions de dollars en 2014, les budgets de cybersécurité sont en baisse avec un budget moyen de 4,1 millions de dollars, soit 4% de moins par rapport à 2013.
Les acteurs du secteur des assurances le constatent : les assurances de dommage spécialisées dans la couverture de risques informatiques, bien que très variées et très attractives, ne rencontrent encore que peu de succès et leur souscription reste marginale en partie du fait d’une prise de conscience encore insuffisante des risques, et des difficultés pour les entreprises de définir leur besoin face aux risques cyber.
A ce jour, les assureurs proposent majoritairement des polices « tous risques informatiques » énumérant les risques garantis ou prévoyant une formule « tous risques sauf » couvrant tous les événements non expressément exclus. Adaptées aux évolutions des risques informatiques, ces assurances garantissent aujourd’hui les atteintes aux informations en proposant la couverture de l’information elle-même et celle des pertes résultant de la cyberattaque.
A titre d’exemple, le Syntec informatique (chambre syndicale des sociétés d’études et de conseils) propose une assurance « tous risques sauf » qui assure « les biens informatiques, électroniques, électriques » et « les frais de reconstitution des informations » sauf « les pertes pécuniaires résultant : de disparition inexpliquée de données, de toute utilisation de logiciels acquis illégalement, sauf si son utilisation l’est à l’insu de l’assuré (…) ».
Outre les assurances « tout risque sauf », les assureurs offrent également de nombreuses possibilités d’extensions de garantie spécifiques aux risques cyber. Il en est ainsi, lorsque le contrat d’assurance ne garantit pas les cybers risques et en contrepartie du versement d’une prime complémentaire, des dommages concernant les frais de reconstitution des informations dans l’état antérieur au sinistre, les frais supplémentaires d’exploitation et les pertes d’exploitation.
Face à l’augmentation des cyberattaques qui touchent toutes les entreprises, de toute taille et de tout secteur, il est plus que vivement recommandé de se prémunir contre le risque cyber, aussi bien en se dotant d’outils informatiques performants qu’en adaptant sa police d’assurance pour couvrir ces nouveaux risques informatiques.
Lexing Alain Bensoussan Avocats
Lexing Droit pénal numérique