France: Perte d'exploitation et assurance cyber : êtes-vous vraiment couverts?

Le risque cyber correspond à « un risque opérationnel portant sur la confidentialité, l'intégrité ou la disponibilité des données et des systèmes d'information ».

Cela recouvre donc aussi bien les actes malveillants, que les incidents issus d'erreurs humaines et les accidents.

L'essor de l'économie numérique et de la numérisation des modes de production rend les entreprises particulièrement vulnérables à ce type de risques. En particulier, les TPE, les PME et les ETI sont devenues les cibles privilégiées des attaques informatiques malveillantes. Pour cause, elles disposent de moyens techniques et financiers plus limités pour assurer l'intégrité et la sécurité de leurs systèmes informatiques. En cas de réalisation du risque, ces entreprises sont susceptibles d'enregistrer une forte baisse d'activités, pouvant parfois aller jusqu'à la paralysie totale.

Elles peuvent ainsi se poser la question de souscrire une police d'assurance cyber afin de garantir les pertes qu'elles pourraient subir. Le coût et les conditions de ces garanties amènent à s'interroger. Les entreprises ont-elles réellement intérêt à souscrire de telles polices et, si oui, pour quels postes de préjudices ?

Si un cadre juridique propre aux garanties cyber commence à émerger (1), les contours de l'offre assurantielle existante peuvent être difficiles à identifier, plus particulièrement s'agissant de la garantie perte d'exploitation (2). De plus, l'assuré sera nécessairement tenu de démontrer que le sinistre serait à l'origine de la perte d'exploitation subie afin d'obtenir une indemnisation à ce titre (3).

L'émergence d'un cadre juridique propre aux polices d'assurance cyber

Avant l'adoption de la loi d'Orientation et de Programmation du ministère de l'Intérieur (LOMPI) le 7 décembre 2022, les polices d'assurance cyber ne relevaient pas d'une catégorie clairement définie au sein du Code des assurances. Par ailleurs, une incertitude juridique persistait quant à l'assurabilité des demandes de cyber-rançons.

Depuis l'adoption de cette loi, il semble admis qu'une police d'assurance cyber peut garantir toutes les conséquences d'un sinistre informatique, y compris les coûts de remédiation, les pertes d'exploitation et les cyber-rançons¹.

Cependant, la LOMPI conditionne la perception d'une indemnisation au dépôt par la victime d'une plainte auprès des autorités compétentes dans les 72 heures suivant la prise de connaissance par l'assuré de l'atteinte, faute de quoi il serait privé de tout droit à indemnisation². Il s'agit d'une règle d'ordre public s'appliquant aux personnes agissant dans le cadre de leurs activités professionnelles à compter du 24 avril 2023 (Art. L. 12-10-1 du Code des assurances).

Dès lors, si l'assuré ne porte pas plainte dans le délai imparti, il ne sera plus fondé à solliciter une quelconque indemnisation des dommages et des pertes subies à la suite d'une atteinte à son système d'information et de communication, et ce quand bien même il aurait souscrit une police d'assurance dédiée.

Enfin, deux nouvelles catégories d'assurance ont été ajoutées à l'article A. 344-2 du Code des assurances par un arrêté adopté le 20 décembre 2022 : il s'agit, d'une part, des « Dommages aux biens consécutifs aux atteintes aux systèmes d'information et de communication » et, d'autre part, des « Pertes pécuniaires consécutives aux mêmes atteintes »³. Ainsi, les assureurs seront tenus de distinguer les indemnisations des dommages matériels et celles des pertes d'exploitation résultant des atteintes aux systèmes d'informations et de communication dans le cadre de leurs obligations de communication d'informations aux autorités et au public prévues par la Directive du 25 novembre 2009 sur l'accès aux activités d'assurance et de la réassurance et leur exercice, dite « Solvabilité II ».

Si la souscription d'une garantie couvrant les coûts de remédiation peut être pertinent pour les opérateurs économiques, la mise en Suvre pratique des garanties couvrant les pertes d'exploitation peut poser certaines difficultés amenant à s'interroger sur leur intérêt.

L'incertitude autour des garanties pertes d'exploitation des polices d'assurance cyber

Deux tendances générales se dessinent sur le marché des risques cyber. Certains assureurs choisissent de limiter le montant des garanties qu'ils accordent à leurs assurés, tandis que d'autres délimitent plus précisément l'étendue de la garantie accordée, notamment en abaissant les plafonds de garanties et en précisant des conditions et d'exclusions spécifiques.

Les termes et conditions des polices d'assurance cyber ne sont pas encore standardisées, il peut donc y avoir d'importantes disparités selon l'assureur auprès duquel ces polices sont souscrites. Ceci précisé, les garanties cyber comprennent généralement la prise en charge :

• des frais d'assistance déboursés en cas d'attaque (experts en informatiques, frais d'avocats, frais de communication, coût de la récupération des données, etc.),
• des demandes de rançons,
• des frais de défense et des amendes et pénalités pouvant être prononcées en cas d'atteinte aux données personnelles (sous réserve de l'assurabilité de celles-ci), ainsi que
• les atteintes aux biens de tiers et à ceux de la victime.

Cette dernière garantie peut inclure une prise en charge des pertes d'exploitation subies à raison de la cyberattaque. Cette indemnité est en principe sensée « replacer l'entreprise dans la situation financière qui aurait été la sienne si le sinistre n'avait pas eu lieu ». L'équation permettant de calculer l'indemnité due par un assureur au titre des pertes d'exploitation pourrait donc, en théorie, être synthétisée de la manière suivante : Perte de la marge brute + Frais supplémentaires engagés – Frais fixes épargnés.

Néanmoins, l'étendue effective de cette garantie perte d'exploitation peut sembler élusive. Certains assureurs se réservent en effet la possibilité, dans le calcul de l'indemnité due au titre des pertes d'exploitation subies, de prendre en compte « les éventuels effets de rattrapage d'activités suivant la baisse d'activité constatée ». Autrement dit, à supposer que la victime d'une cyberattaque subisse une perte d'exploitation et que, par exemple, par le déploiement de moyens exceptionnels visant à remédier à ce sinistre, la perte de marge brute soit « rattrapée », alors aucune indemnisation ne serait due pour ce poste de préjudice. Par conséquent, lorsque le chiffre d'affaires de l'assuré est particulièrement fluctuant en raison de la nature de son activité économique, un tel effet de rattrapage pourrait facilement être caractérisé.

La marge d'appréciation de l'assureur dans la mise en Suvre de cette exception est significative. Dès lors, l'assuré s'étant montré réactif et diligent pourrait donc uniquement prétendre à une indemnisation au titre des frais d'assistance et des éventuels frais supplémentaires d'exploitation.

Ainsi, quand bien même une garantie perte d'exploitation serait souscrite au prix fort, en considération par exemple d'un haut plafond de garantie, il se pourrait que le montant de l'indemnité effectivement reversée soit réduit à peau de chagrin par le jeu de certaines clauses de la police souscrite.

L'enjeu du lien de causalité entre la perte d'exploitation et la cyberattaque

Même lorsque les conditions de garanties semblent satisfaites et qu'aucune exclusion ne pourrait être opposée, l'assuré devra démontrer que la perte de marge brute subie résulte directement du sinistre en cause pour prétendre à une quelconque indemnisation.

La jurisprudence est là encore disparate s'agissant du standard de preuve selon lequel l'existence d'un tel lien de causalité est appréciée.

Certaines décisions considèrent qu'il n'est pas suffisant de rapporter la preuve d'une perte de marge brute concomitante à l'apparition du sinistre, alors que d'autres admettent l'existence d'un lien de causalité entre la perte d'exploitation démontée et le sinistre, notamment en considération de la nature des données ayant été perdues⁴.

Si le lien de causalité n'est pas caractérisé, alors l'assureur pourrait ainsi refuser d'indemniser la perte d'exploitation subie. Force est de constater que la garantie souscrite au titre des pertes d'exploitation, laquelle contribue à faire gonfler le montant des primes d'assurance cyber, n'est pas aisée à mettre en Suvre.

Conclusion

Pour l'heure, les assureurs ont encore du mal à appréhender les risques cyber et accusent le coup d'un ratio sinistre/prime déficitaire. Les dispositions de LOMPI obligeant les assurés à déposer plainte devraient, sur le long terme, leur octroyer une meilleure visibilité et donc contribuer à une structuration du marché. Dans cette attente, les conditions de souscription devraient encore se durcir, aussi bien s'agissant des conditions de garanties que du montant des primes d'assurance et des franchises.

Par exemple, en 2020, notamment sur le marché des grandes entreprises, les assureurs ont durci les conditions d'accès à ce type de garanties et ont augmenté leurs prix et le montant des franchises. Plusieurs grands groupes ont ainsi dû renoncer à leurs garanties d'assurance cyber. Une démarche similaire devrait être adoptée s'agissant des polices cyber souscrites par les ETI et PME.

Peut-être faudrait-il faire l'économie d'une garantie perte d'exploitation au profit d'autres garanties, encore peu présentes sur le marché français, permettant d'augmenter la résilience des opérateurs économiques par la mise en Suvre de moyens de prévention. Ce type de garantie est en train de se généraliser dans les polices d'assurance cyber souscrites outre-Atlantique.

En effet, peu avant la pandémie, un nouveau modèle de couverture des risques cyber a émergé aux Etats-Unis. Certains nouveaux acteurs ont commencé à proposer un volet de garantie préventif reposant sur l'utilisation d'outil de monitoring et l'intervention de partenaires pour limiter les risques et, par voie de conséquence, la sinistralité cyber. Ce type de couverture est dorénavant en train de se généraliser dans les polices américaines et pourrait également se développer sur le marché français. Il nous semble en tout cas que toutes les entreprises, indifféremment de leurs tailles, y auraient intérêt.

Footnotes

1. Rapport annexé à la Loi n° 2023-22 du 24 janvier 2023 – point 1.1.1.

2. Article 5 de la Loi n° 2023-22 du 24 janvier 2023 d'orientation et de programmation du ministère de l'intérieur.

3. Arrêté du 13 décembre 2022 relatif à la classification des engagements d'assurance consécutifs aux atteintes aux systèmes d'information et de communication.

4. Voir par exemple : CA Saint-Denis de La Réunion, 29 janvier 2021, n° 17/01754, confirmé par Cass. Com., 26 octobre 2022, n° 21-12.820

5. Emmanuèle Lutfalla, Mathilde Gérot et Myriam Benazza, « LOPMI : une perspective prometteuse pour le marché de l'assurance cyber », L'assurance en mouvement, 24 Avril 2023.

6. AMRAE, Etude LUCY (« Lumières sur la Cyberassurance »), Juin 2022.

7. Ibidem et AMRAE, Etude LUCY (« Lumières sur la Cyberassurance »), Juin 2022.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.