Depuis plusieurs années déjà, des compagnies proposent des polices d’assurance « cybersécurité » qui ont vocation à couvrir certains risques définis comme tels. Au vu des risques, l’intérêt semble évident. Mais, comme toujours dans une relation commerciale, entre le message du vendeur et le vrai texte (juridique) qui va régir le contrat, quelques différences existent.

Par Alexandre Diehl, Avocat à la cour, Lawint

Le 28 septembre dernier, la Gendarmerie nationale, la Fédération Française de l’Assurance (FFA) et la Fédération nationale des syndicats d’agents généraux d’assurance (AGEA) ont signé un partenariat pour former et sensibiliser les agents généraux au risque cyber.

L’idée de ce partenariat est de traiter le risque cyber là où ça fait mal, à savoir au portefeuille. En effet, la plupart des dirigeants et DSI voient ce risque comme sérieux et concret, mais estiment être couverts par les assurances. À l’inverse, les assurances voient également ce risque comme sérieux et concret, mais estiment que les entreprises doivent mettre en place des mesures de sécurité minimales, à titre de condition préalable pour être indemnisées.

En droit français, un risque doit présenter certaines caractéristiques : il doit être aléatoire, futur, licite et réel. Le code des assurances et la jurisprudence excluent certains risques de « l’assurabilité », dont notamment les risques liés à la guerre, aux émeutes et aux mouvements populaires (art L.121-8 du code des assurances) et les sinistres consécutifs à une faute intentionnelle ou dolosive (art L.113-1 du même code). Mais il y a surtout les risques et sinistres contractuellement écartés.
Afin de permettre aux compagnies de faire cette liste (et aussi ceux qu’elles voudraient exclure ou conditionner), la FFA a tenté de dresser, à partir de 2018, une liste non-exhaustive des risques qualifiés de cyber : piratage, vol de données, usurpation d’identité, détournement d’objets connectés, ransomware… Trois ans plus tard, les principales menaces sont le phishing et le ransomware.

Le rapport (issu du Club des Juristes ) présenté par la FFA est clair : l’entreprise qui veut prétendre à une indemnisation, en cas de sinistre cyber, devra démontrer avoir mis en place plusieurs mesures préalables.

Aujourd’hui, sur la base de ces travaux, les principales compagnies conditionnent leurs éventuelles indemnisations à la démonstration de quatre types de mesures préalables prises par l’assuré.
Il s’agit d’abord de la réalisation d’une cartographie des risques et vulnérabilités et d’une évaluation des enjeux (par exemple, méthodologie EBIOS ou, pour les plus petites structures, le PIA de la CNIL, un outil gratuit très bien conçu ).
Le deuxième volet porte sur la définition et la mise en place (ou, a minima, un début de mise en place) des mesures correctives de sécurité, dont des procédures (écrites) comprenant notamment les mesures de sécurité, de gestion de failles, etc., et au moins une politique de sécurité (PSSI).
Le troisième volet porte sur la formation ou au moins la sensibilisation à la cybersécurité et aux traitements de données.
Enfin, l’audit, la maintenance et l’enrichissement de ces mesures doivent être effectuées périodiquement.

Cette liste n’est pas anodine car elle reprend peu ou prou celle extraite de l’article 32 du RGPD (et son interprétation par la CNIL et l’ANSSI) qui impose juridiquement aux entreprises la mise en place de telles mesures. En d’autres termes, une compagnie n’indemnisera que si l’entreprise victime a valablement mis en place les mesures juridiques et opérationnelles au titre du RGPD. Même si chaque police est spécifique, on peut tout de même résumer sommairement en disant que si on ne fait rien au préalable, on aura beau payer sa cotisation, on ne sera pas couvert par son assurance.