L’assurance des risques de cyber-attaque 2/2

Suite de notre article consacré à la nouvelle législation en vigueur dans le Code des Assurances sur le risque de cyber attaque. 
La première partie est à lire en suivant ce lien.

Plus le chantage dure, plus il est caché, plus le coût du risque est élevé.

Dans ce contexte, la loi n° 2023-22 du 24 janvier 2023 introduit un nouveau chapitre dans le titre II du Code des Assurances, le chapitre X, qui comporte le nouvel article L.12-10-1 “L’assurance des risques de cyber attaque”.

Le « dépôt d’une plainte de la victime auprès des autorités compétentes » pour une cyber attaque devra intervenir au plus tard 72 heures après la connaissance de l’atteinte par la victime.

Cette approche de la menace cyber permet en premier lieu de renseigner les potentielles victimes, sur :

• La notion d’autorités compétentes : il s’agit des forces de sécurité et l’autorité judiciaire
• Les délais : « 72 heures après la connaissance de l’atteinte par la victime »
• Le dépôt de plainte doit être fait par « la victime », sans plus de caractérisation.

Mais il donne également des indications aux assureurs sur le risque à couvrir, sur la structure de leurs conditions produit et le prix de leur prime, à travers une esquisse de quantification :

1. La nature du bien

Dans l’article, le bien attaqué est qualifié de « système de traitement automatisé de données » avec, pour le caractériser, un renvoi aux articles 323-1 à 323-3-1 du code pénal. Ces articles, introduits par la loi Godfrain du 5 janvier 1988 (!) ne complètent qu’imparfaitement la définition du bien assurable. Depuis trente ans les entreprises ont bâti leurs systèmes d’informations, de communication, leurs bases de données. Des biens tangibles y sont associés, serveurs, effectifs. Une gouvernance (RSSI, formalisation d’un plan de continuité d’activité, gestion des habilitations, tests et audits réguliers) constitue l’une des dimensions de ce nouvel espace.

Mais au-delà, il y a les biens d’une réalité nouvelle que sont le cloud, l’ensemble des données virtuelles qui sont la propriété de l’entreprise et de ses clients. La sécurité de ces actifs, a des incidences vertigineuses qui touchent à la protection des données personnelles, au risque d’image et de réputation, à la propriété intellectuelle. Sont-ce des biens immobiliers ? Matériels ? Immatériels ? Mixtes ? A travers ce nouvel article inaugural, il apparait que le domaine de ce type de risque relève des « pertes et dommages ».

Mais la dimension forfaitaire ou indemnitaire, matérielle ou non, de la quantification de ce risque appartient encore à la créativité et à l’expérience des actuaires. En la matière, les assurtechs US semblent avoir mesuré le potentiel de croissance lié à la quantification de la valeur des bases de données : on peut citer la start up américaine Gulp Data par exemple, qui propose des outils de data analyse et de valorisation de ces actifs.

2. Le remboursement du sinistre est subordonné à l’existence d’une clause dédiée.

3. Enfin, la restriction temporelle pour la déclaration donnant droit à indemnisation, qui ne manquera pas d’apparaitre dans les conditions générales des futurs produits, est de 72 heures.

Cette restriction temporelle permet aux assureurs de se prémunir contre les futures dérives de rentabilité : plus le chantage dure, plus il est caché, plus le cout du risque et élevé. Pousser à la déclaration est un levier pour sortir de l’ombre les pirates. La réactivité, l’instantanéité sont essentielles.Ce rappel de la notion d’urgence à dénoncer, à se défendre, convoquée par cet article, matérialise l’importance réelle à apporter à une cyberattaque, qualifiée de façon répétée de « crime ». Une importance dont toute la société, pas uniquement les assureurs et les victimes, est appelée à prendre conscience.

Par Louise Adnot

 

 

POUR ALLER PLUS LOIN :
ID Reflex’ Cybersécurité 2e édition

 

Crédit photo : ©LagartoFilm via Canva.com