Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2018 - n°432 - 43

Focus

e marché américain de l'assurance cyber, estimé entre
300 et 350 milliards de dollars,
représente 85 à 90 % des
primes au niveau mondial. Le marché
européen, quant à lui, ne détiendrait
que 5 à 9 % des parts de marché avec
un montant évalué à 300 millions de
dollars de primes, dont 40 millions en
France. Si la cyberassurance apparaît
encore faible sur notre continent, la
situation est amenée à évoluer fortement, selon un rapport de janvier 2018
du Club des juristes intitulé « Assurer
le cyber risque ». D'une part, les entreprises de plus en plus digitalisées sont
aussi beaucoup plus conscientes des
menaces cyber, en raison de l'accélération et de l'importance des cyberattaques. D'autre part, l'apparition de
nouvelles obligations liées au règlement général pour la protection des
données (RGPD) fait croître le risque
juridique et le besoin d'assurance.
Si les grandes entreprises sont généralement bien couvertes contre le risque
cyber, ce n'est pas le cas des PME et
des TPE qui pourtant subissent 60 %
des attaques en France. Elles ne sont
pas toujours conscientes des menaces
qui pèsent sur leur activité. Comme
elles sous-estiment leur exposition
à ce risque, elles n'envisagent pas
la possibilité de le transférer à leur
assurance. Mais la médiatisation des
affaires Wannacry, Petya, de faille de
sécurité dans les processeurs Intel, des
rançongiciels ont participé à la sensibilisation des entreprises au fait que
ces menaces les concernent.
Par ailleurs, l'entrée en application du
RGPD en mai 2018 impose de nouvelles
obligations, alourdissent le coût de
cyberattaques et les risques d'action
en responsabilité, générant ainsi un
besoin accru d'assurance, affirme le
rapport. D'abord, la généralisation
de l'obligation de notification d'une
atteinte aux données personnelles
expose désormais toutes les entreprises. Une cyberattaque va entraîner
des frais de notification, de communication, de mise à jour des bases de
données, de personnel, etc. Elle peut
aussi entraîner une action en responsabilité de victimes désormais informées de la violation de leurs données

Cybersécurité

2018, L'ANNÉE DE L'ASSURANCE CYBER
Le marché de l'assurance cyber va
monter en puissance du fait de la prise
de conscience de plus en plus forte des
cybermenaces mais aussi en raison de
l'entrée en application du RGPD
personnelles. En outre, les principes
d'accountability et de compliance du
RGPD vont multiplier les motifs de
mise en cause de la responsabilité des
entreprises. Dans le même temps, les
audits et la cartographie des traitements vont aussi permettre d'identifier
des risques, jusqu'alors ignorés.
Si l'absence de notification fait peser
un risque de sanction très élevée
pour l'entreprise, elle peut aussi être
considérée comme « une faute de
gestion entraînant la responsabilité
du dirigeant de l'entreprise victime
d'un incident cyber, notamment si ce
manquement devait impacter significativement les résultats, voire la
pérennité de la société » , signale le
Club des juristes.
Le rapport met, par ailleurs, l'accent
sur le risque lié à une action collective figurant à l'article 80 du RGPD
(voir l'interview). Il deviendra réel si
le parlement français vote en faveur
de la possibilité de demander la réparation du préjudice subi. Le Club des
juristes évoque également la question
sensible et non tranchée de l'assurabilité des sanctions administratives et
du paiement d'une rançon suite à une
cyberattaque. Cette question se pose
d'autant plus que les sanctions prévues
par le RGPD sont très importantes. Les
cyberattaques par un ransomware
sont, par ailleurs, en forte augmentation. Il semble cependant que le paiement d'une rançon ne puisse faire l'objet d'une indemnisation, faute de cause
licite a rappelé Garance Mathias,
avocat, lors du Panorama Clusif 2017
de la cybercriminalité. Mais remarque
le Club des juristes, « comme en
matière de sanctions administratives,
certaines compagnies d'assurances
tendent à couvrir les risques liés

EXPERTISES FÉVRIER 2018

aux ransomwares dans des conditions définies par le contrat, à défaut
de législation précise. L'analyse de
tels contrats est rendue difficile par
la clause de confidentialité qu'ils
comportent ».
Pour toutes ces raisons, « les projections d'évolution du marché de l'assurance cyber anticipent de fortes
hausses des primes souscrites dans
les prochaines années » , lit-on dans
le rapport. Encore faudrait-il que l'offre
assurantancielle soit plus lisible pour
les entreprises et qu'il soit apporté plus
de clarté entre la couverture par les
contrats traditionnels et les contrats
cyber dédiés. Pour permettre le développement en France d'un marché
mature de la cyberassurance et de
mieux assurer le risque cyber, le Club
des juristes a émis dix recommandations. Il préconise aux assurances et
aux gestionnaires de risques d'informer les entreprises assurées sur les
risques induits par les technologies
et les sensibiliser aux nouvelles obligations réglementaires, d'expliquer
clairement les contenus des différentes
couvertures et de faciliter la comparaison des garanties, de renforcer la
relation de confiance assureur/assuré
dans la gestion des contrats cyber, de
développer la sécurité informatique,
de mutualiser les données sur les incidents cyber, de piloter les expositions
et les cumuls de risques des assureurs
et des réassureurs. Il demande aussi
aux instances européennes d'établir
des normes techniques facilitant l'évaluation du niveau de sécurité des assurés et d'adopter un cadre juridique
clarifiant la question de l'assurabilité
des rançons.
Sylvie ROZENFELD

Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2018 - n°432