Les attaques cyber dont sont victimes les entreprises et entités publiques françaises et internationales (par exemple, tout récemment la paralysie de la ville de Baltimore) illustrent l’intensité et la gravité de la menace cyber. Pourtant peu d'entreprises sont aujourd'hui préparées à faire face à cette menace qui pèse sur l'intégrité de leur système d'information et la protection de leurs données.
Les technologies sont devenues des outils de performances pour les entreprises et des outils du quotidien pour les individus. Mais leur développement, comme tout progrès technique, remet en cause la sécurité des entreprises, avec l’avènement du risque cyber. Un risque complexe, protéiforme, évolutif et systémique, qui peut engendrer des dommages conséquents. C’est un risque émergent dont l’impact est considérable. Les résultats du Baromètre 2019 de la Fédération française de l'assurance (FFA) citent le risque cyber comme le premier risque émergent auquel doivent faire face les assureurs. Avec l’augmentation des attaques, leur ampleur en nombre et en exposition, ce risque est pressenti comme le risque majeur auquel devront faire face les assureurs à l’horizon de cinq ans. D’ailleurs, en 2019, le Forum Économique Mondial de Davos a désigné le risque cyber comme le risque majeur, au même titre que les catastrophes naturelles.
Un risque garanti mais pas tarifé
Devant cette montée en puissance du risque cyber et face aux conséquences financières des récentes attaques d’ampleur à travers le monde, le marché de l’assurance évolue pour adapter ses offres à ces nouvelles typologies de risques et de clientèle, tandis que les intermédiaires présentent les exigences nouvelles de leurs clients.
Pour répondre aux besoins du marché, les assureurs ont mis en place des polices dédiées au cyber, dans lesquelles ils proposent des services et des garanties pour couvrir les risques de leurs assurés, car ils se sont rendu compte que leurs lignes traditionnelles, contrats Automobile, Dommage aux biens, Responsabilité civile (RC), transport, bris de machine ou tout risque informatique, sont concernés par le risque cyber.
Les dommages d’origine cyber peuvent donc être pris en charge dans des polices dédiées cyber mais aussi dans des polices traditionnelles. Ce risque n’étant pas connu lors de la rédaction des polices de type Dommages aux biens ou RC, il ne pouvait être ni inclus, ni exclu. Les assureurs sont donc exposés à des garanties « cybers » dites « silencieuses », incluses dans des garanties traditionnelles de Dommages de type Tous Risques informatiques.
Or, si ce risque est implicitement garanti, il n’est pas tarifé, alors que ses conséquences pourraient être redoutables sur le plan financier. Comment les assureurs peuvent-ils faire face aux risques des garanties cyber implicites, « silencieuses » ou cachées ?
Les risques informatiques sont couverts par des polices traditionnelles qui assurent l’erreur, le mauvais fonctionnement, la panne, ou la fraude. Mais la nouvelle nature du risque numérique amène à considérer que ces polices couvrent des risques plus sophistiqués, désormais appelés « cyber ».
Les définitions utilisées aujourd’hui dans les contrats dédiés au risque cyber reprennent des définitions anciennes, souvent caractéristiques des risques informatiques. Ces risques sont connus et maîtrisés par les acteurs de l’assurance à la différence du nouveau risque cyber. Les contrats reprennent des définitions et des garanties que les acteurs ont compilé en fonction de leur antécédent et de leur vécu. Or, les références passées ne sont plus adaptées à ces nouveaux risques. Le risque informatique a muté en risque cyber depuis le développement du numérique.
Dans les années 1980, les entreprises craignaient les risques informatiques pour leurs installations de matériels fixes et portables. Les assureurs ont répondu à ces préoccupations par des polices d’assurance tous risques informatiques couvrant les dommages. Depuis les années 2000, l’entreprise craint les risques digitaux et les menaces d’attaques cyber. L’évolution technologique est fulgurante, imaginer sa future forme dans quelques années est devenu difficile.
Des attaques qui s’intensifient et se complexifient
La définition du risque cyber est multiple et aucun consensus n’a été atteint sur ce sujet par l’ensemble de la profession. Le risque, avec le développement des systèmes d’information et de la technologie est protéiforme. Cela dit, il reste nécessaire de produire une définition, afin de pouvoir l’identifier dans les polices traditionnelles et décider d’une stratégie face aux garanties silencieuses qu’elles contiennent.
Le risque cyber est l’atteinte aux systèmes électroniques et aux données informatiques, appartenant à toutes personnes, établissements ou gouvernements, hébergés par soi-même ou un tiers. Cette atteinte est le résultat d’une erreur humaine, d’un incident, d’une panne, d’une action malveillante, avec des conséquences matérielles et immatérielles pour l’entreprise ou pour les tiers.
La maîtrise du risque est complexe, comme le montre l’évolution des concepts et des clauses contractuelles. Les entreprises découvrent de nouvelles vulnérabilités de leur système d’information, au fur et à mesure que les attaques s’intensifient et se complexifient. La nature du risque a évolué avec des risques plus nombreux, notamment en perte d’exploitation et en RC qui sont potentiellement couvertes par des garanties traditionnelles. Enfin, le risque est sériel, du fait de la mise en réseau des outils informatiques : la propagation rapide du sinistre est évidemment un facteur majeur de coût, non prévu dans les polices de Dommages et de RC.
Ce risque nouveau se trouve ainsi couvert par des contrats traditionnels qui ne prévoyaient pas son exclusion, le risque cyber n’entrant pas dans le champ d’application du contrat. Le marché ne le connaissait pas, et d’ailleurs ne le connaît pas encore complètement. Ce nouveau risque relève de la couverture non explicite donc silencieuse du risque cyber dans des polices d’assurance de dommages aux biens et de RC mais aussi des polices d’assurance automobile, transports et engineering.
Les garanties peuvent donc être recherchées, lors de la survenance d’un sinistre cyber et engendrer des coûts très élevés et non prévus pour l’assureur au moment de la tarification.
Pour évaluer les « garanties silencieuses » du cyber risque, les assureurs doivent appréhender le risque et passer en revue leurs portefeuilles. Pour ce faire, ils doivent étudier où se situent les « garanties silencieuses », en déterminant les garanties susceptibles d’être impactées et les polices pouvant être exposées. Les assureurs tentent donc de comprendre et de mesurer l’exposition au risque cyber dans les lignes traditionnelles.
Un impact non négligeable sur l’activité de l’entreprise
Pour les garanties Dommage, les polices couvrent les risques auxquels les biens mobiliers ou immobiliers de l’assuré sont exposés. Il doit y avoir un fait générateur du dommage qui inflige un dommage matériel, immatériel, ou corporel à l’assuré.
Dans la plupart des offres de cyber assurances spécifiques, les assureurs prennent à leur charge les dommages tels que le vol cybernétique, les frais de transfert vers un autre prestataire, la cyber extorsion et les pertes d’exploitation. Mais les garanties traditionnelles Dommage sont exposées différemment. Il a été mis en évidence par les travaux du Cambridge Risk Center que des attaques cyber pouvaient avoir des conséquences matérielles qui déclencheraient des garanties Dommages traditionnelles. Les événements cyber touchent toutes les entreprises et leurs conséquences en dommages et en perte d’exploitation peuvent mener une entreprise à la faillite. Selon le baromètre d’Allianz 2019, les événements cyber et les pertes d’exploitation sont deux risques majeurs pour la santé des entreprises.
Les causes principales de perte d’exploitation sont les erreurs humaines et les pannes informatiques. Les événements cyber ont donc un impact non négligeable sur l’activité de l’entreprise. Les deux risques sont de plus en plus liés. Le risque cyber pouvant impliquer une perte d’exploitation, par des attaques « ransomware » ou par des défaillances du système informatique, ainsi que par des erreurs humaines. Seuls les faits générateurs cyber conduisant à un dommage matériel peuvent mettre en jeu la couverture des garanties pertes d’exploitation traditionnelles.
Le cas des pertes d’exploitation sans dommage (Dommages immatériels non consécutifs – DINC) reste un problème pour les assurés et les assureurs. Les entreprises recherchent des garanties pertes d’exploitation sans dommage mais le marché est très restreint. Ces pertes d’exploitation sans dommage sont difficiles à modéliser, d’autant que l’information de l’assureur sur leur existence est faible.
En ce qui concerne les garanties RC, l’assureur s’engage, en vertu des Articles L 124-1 et L 124-5 du Code des Assurances, à couvrir la responsabilité civile de son assuré, si à la suite d’un fait dommageable prévu au contrat, un tiers lésé fait une réclamation amiable ou judiciaire. Généralement, les garanties de responsabilité couvrent les dommages corporels, matériels et immatériels aux tiers, quel que soit le fait générateur.
Les faits générateurs cyber en RC comme la malveillance informatique, les cyber attaques avec des conséquences matérielles et corporelles et les cyber attaques avec des conséquences immatérielles (arrêt de production tiers…), mais aussi occasionnées par l’erreur humaine peuvent être couverts par des garanties responsabilité traditionnelle.
Les clauses d’exclusion doivent être formelles, claires et précises
L'objet de la garantie du contrat en Dommage et en RC fait rarement obstacle à une intervention de l’assureur au titre de risques cyber considérés comme un fait générateur de sinistre. Il convient alors d'étudier les clauses d'exclusion qui sont susceptibles de jouer.
Dans le cas où il y a une exclusion, cette dernière doit être formelle et limitée, au sens de l’Article L. 113-1 du Code des assurances. Si ce n'est pas le cas, le risque cyber est couvert de fait. Les clauses d’exclusion doivent être formelles, claires et précises. Tout ce qui n’est pas intégré dans l’exclusion est couvert. Pour mener scrupuleusement l’étude sur l’exposition silencieuse au risque cyber dans les portefeuilles des Compagnies d’assurance, il faut examiner la rédaction des clauses d’exclusion mais aussi des clauses définissant le risque garanti, car l’évolution du concept du cyber peut entraîner la garantie du risque dans certaines polices dont la rédaction est insuffisamment précise.
Dans les contrats de RC, il existe des clauses d’exclusion rédigées comme suit : « Les dommages résultant des effets d'un virus informatique, c'est-à-dire d'un programme ou d'un ensemble de programmes informatiques conçus pour porter atteinte à l'intégrité, la disponibilité ou la confidentialité des logiciels sont exclus. » L’exclusion porte ici essentiellement sur le virus informatique, alors que le risque est protéiforme. Il y a une multiplicité de logiciels malveillants qui sont apparus tels les virus, les vers, les bombes logiques, le cheval de Troie, les logiciels espions ou les logiciels de cryptage aux fins de rançon. On peut donc dire qu'un virus est toujours un logiciel malveillant, mais un logiciel malveillant n’est pas toujours un virus. Par conséquent, les exclusions ne remplissent pas toujours leur fonction et l'événement cyber peut être garanti au titre d'un contrat RC ou Dommage.
Le marché estime que les polices de dommages aux biens sont plus exposées que les polices de responsabilité en raison de la couverture des pertes d’exploitation immatérielles. Or, avec la Directive Network and Information System Security (NIS) et le Règlement général sur la protection des données (RGPD), les assureurs français craignent de voir les polices de responsabilité de plus en plus mises en jeu. Pour déterminer les polices traditionnelles susceptibles d’être impactées par ces incidents cyber de vol de données ou de « breach of privacy », les parties prenantes ont créé des scénarios fondés sur les évènements connus et sur les réflexions autour de ceux-ci, puis ont étudié et testé la formulation de leur contrat.
Certains contrats sont davantage susceptibles d’être mis en jeu lors d’attaque cyber que d’autres. Par exemple, les contrats à destination des dirigeants d’entreprises (RC des mandataires sociaux). Dans ces contrats sont couverts les frais de défense et les conséquences pécuniaires encourues par tout dirigeant d’entreprise qui serait mis en cause personnellement, à la suite d’une faute professionnelle et faisant l’objet d’une réclamation. Or, un incident cyber peut avoir des conséquences importantes sur l’entreprise, mais aussi sur ses dirigeants. De nombreuses obligations leur incombent dans la gestion de leur entreprise et dans la prévention des attaques cyber. Les dirigeants peuvent donc être poursuivis par des tiers, notamment les actionnaires ou être l’objet de contrôles réglementaires et d’enquêtes avec mise en cause. Les contrats peuvent être, par exemple, appelés à couvrir les frais d’enquête, d’assistance et de représentation du dirigeant devant les autorités de régulation (ACPR, CNIL) à la suite d’un évènement cyber qui aurait des répercussions sur un tiers et l‘aurait conduit à porter réclamation.
Des « trous de garanties » pour l'assuré
Un important travail d’étude des conditions générales et particulières des polices en portefeuilles reste à mener. Dans l’immédiat, les assureurs disposent de différentes options quant aux stratégies à mettre en place face aux « garanties silencieuses ».
Les assureurs ont évidemment la solution d’exclure les événements cyber de la garantie, sans que le risque soit couvert par ailleurs. Il faut donc réexaminer les contrats, et notamment les définitions des risques et des garanties, puis rédiger la clause d’exclusion du risque cyber. Bon nombre d’exclusions et de définitions actuellement en vigueur dans les contrats traditionnels ne sont plus d’actualité et sont devenues inadaptées à la suite de la mutation du risque cyber.
Mais cette solution peut conduire à des « trous de garanties » pour l’assuré. Les contrats cyber ne garantissent pas par exemple les dommages matériels et corporels. Si les polices traditionnelles excluent tout événement lié au cyber, l’assuré n’a plus de couverture de ces risques. La stratégie d’exclusion doit donc être pensée dans la logique de développement des contrats dédiés. Ainsi, la tendance actuelle sur le marché mondial montre que les événements causant des dommages matériels sont couverts par des polices traditionnelles, alors que les événements aux conséquences immatérielles qui impliquent les couvertures des polices de responsabilité générale et professionnelle, doivent être couverts par des polices dédiées au cyber. Les besoins en couverture des DINC incitent donc à la conclusion de contrats cyber spécifiques.
La deuxième solution est d’inclure les dommages matériels et corporels dans des lignes traditionnelles sans surprime. Ce qui implique que les assureurs aient travaillé en amont sur les exclusions des autres dommages. Cette solution aurait pour conséquence la création de deux contrats distincts pour un même événement cyber. Une organisation stricte des contrats et des services d’assurance doit être établie avant la conclusion du contrat.
Les assureurs entreprennent alors de mettre en perspective toutes les garanties qu’ils offrent, entre celles de Dommages, de RC et de cyber. Le but est de déterminer les zones et les couvertures floues pour éviter un cumul ou au contraire, des trous de garantie.
La troisième possibilité est de délivrer une couverture cyber dans un contrat traditionnel tout en percevant une prime qui correspond à la tarification du risque cyber. En pratique, on transforme une couverture implicite en couverture explicite, tout en imposant un plafond de garantie. Le principe d’un module ou d’une extension est d’apporter une couverture, mais limitée. Selon le profil de l’assuré, l’extension n’est pas forcément suffisante.
Le devoir de conseil de l’assureur et du courtier est donc d’exposer les points forts mais aussi les faiblesses de chacune des trois solutions et d’inciter éventuellement l’assuré à souscrire une police spécifique, dédiée au risque cyber.
Mais chaque ligne d’assurance a son propre risque cyber et nécessite donc une approche au cas par cas, en fonction des garanties fournies. Et chaque entité de souscription ne dispose pas d’un souscripteur spécialisé.
Deux risques silencieux, un bon et un mauvais
Parmi les trois solutions évoquées, toutes préconisent une prise en considération des garanties silencieuses et un déploiement d’une stratégie précise et claire. Les assureurs et les réassureurs doivent consentir des efforts considérables pour faire face à ces couvertures silencieuses. Il est aisé de comprendre pourquoi certaines entreprises préfèrent garder le silence. Certains assureurs ont donc décidé de ne pas communiquer, ni en interne, ni en externe sur leur exposition au risque silencieux. Les efforts ne doivent pas être faits seulement au stade de la souscription des lignes traditionnelles. Il faut aussi prendre en compte la nature évolutive et complexe du risque. Or il n’existe sur le marché qu’un petit nombre d’assureurs capables de proposer des services de modélisation des risques cyber. Les données historiques sont insuffisantes et incomplètes.
Enfin, les réassureurs se sont préoccupés du sujet. Les couvertures silencieuses pourraient menacer leur portefeuille, par l’accumulation de risque, faisant jouer plusieurs traités dans différentes branches. Pour réduire leur exposition, les réassureurs incitent les entreprises cédantes à étudier leur portefeuille et à déterminer leur risque silencieux. Faute de cette étude, ils pourraient exclure tout événement cyber de leur traité des lignes de business traditionnelles. Et dès lors, l’assureur n’aurait plus de couverture, et serait totalement exposé aux pertes.
Luke Foord-Kelcey, chez Aon Benfield, s’est exprimé sur le sujet. Il considère que le marché est aujourd’hui scindé entre deux risques silencieux, un bon et un mauvais. Le « mauvais » risque silencieux est celui de la cédante qui ne souhaite pas étudier son exposition et veut juste transférer son risque aux réassureurs. Le « bon » risque silencieux est celui de la cédante qui s’appuie sur ses réassureurs et sur ses partenaires financiers pour être couverte le temps d’étudier son portefeuille et de trouver une solution viable.
Il est devenu nécessaire pour les assureurs de mesurer et évaluer leur risque silencieux cyber. Ils doivent offrir des couvertures d’assurance claires et précises, qui répondront au mieux aux besoins des assurés et permettront aux réassureurs d’appréhender leur risque et d’ajuster leur offre de Traités en conséquence.
Les phénomènes nouveaux et protéiformes viennent bousculer les lignes traditionnelles d’assurance. Le modèle économique et l’organisation des entreprises d’assurance actuelle vont certainement devoir être modifiés, en formant des souscripteurs 2.0 susceptibles de comprendre l’étendue des risques souscrits dans les contrats traditionnels et a fortiori dans les garanties spécifiques.
Achevé de rédiger en septembre 2019.
