Vendredi 29 mai 2020
Article de Maître Pierre CRAPONNE, Avocat of Counsel et DPO, et Victor CONSTANTIN, consultant conformité et sécurité au sein de Hub4Health, publié à l’Argus de l’Assurance
La pandémie actuelle doit faire prendre conscience aux entreprises assurées qu’elles doivent se mettre en conformité et anticiper de futures cyber-attaques. La cyber-assurance n’étant qu’un des moyens pour s’en prémunir.
La crise sanitaire actuelle est sans précédent et le monde des assurances s’en trouve nécessairement affecté tant les impacts sur tous les acteurs économiques sont colossaux. Dans le même temps, cette période de chaos offre un terrain propice à la multiplication des cyber-attaques en mêlant d’une part des systèmes fragilisés (mise en place du télétravail en hâte, multiplication des outils de visio-conférence …) et d’autre part un climat anxiogène (collectes de données excessives, malwares intégrés aux outils de suivi de la pandémie …).
Néanmoins, à la suite d’une crise d’une telle ampleur, des leçons sont à tirer et les implications en termes de cyber-risques et de cyber-assurances ne se limitent pas uniquement à une augmentation des risques.
Les pertes d’exploitation résultant de sinistre cyber
L’une des garanties fondamentales des polices cyber, voire la plus importante quantitativement, reste la prise en charge des pertes d’exploitation à la suite d’une cyber-attaque notamment. Or, en l’état actuel, la majorité des assureurs de la place refuse de prendre en charge les pertes d’exploitations liées à la crise sanitaire en soutenant que ce risque ne serait pas couvert par les polices souscrites.
La compagnie Axa, attraite en justice par l’un de ses assurés qui s’est vu opposé un refus de garantie, s’est notamment prononcée dans la presse spécialisée en soutenant que la prise en charge de pertes d’exploitation à l’échelle d’une pandémie n’avait pas été intégrée dans le calcul des garanties (1). L’assureur fonde ainsi sa défense sur un défaut d’aléa dans le cas d’une pandémie qu’elle qualifie de systémique et globale ce qui empêcherait selon elle toute mutualisation : tous les assurés étant affectés simultanément.
Dans le même temps, d’autres assureurs contournent cette difficulté en ayant recours à des gestes commerciaux pour indemniser leurs assurés à l’instar de Crédit agricole Assurances ou MMA (2). En tout état de cause, il est indéniable qu’aucun assureur sur le marché n’a pu anticiper une telle crise sanitaire et intégrer un tel phénomène sur un plan actuariel. Il est ainsi vraisemblable que, de la même manière, les polices cyber n’aient pas intégré les conséquences directes, et a fortiori indirectes, de la pandémie.
Or, en la matière, l’approche est différente car les pertes d’exploitation résultant d’une cyber-attaque ne sont pas la conséquence immédiate de la pandémie, aussi l’argument tenant à l’absence d’aléa ou de mutualisation ne pourrait trouver à s’appliquer. Cette absence de prise en compte d’une sinistralité colossale et systémique apparait pourtant surprenante au vu de la comparaison soutenue par les Lloyd’s entre la cyber-assurance et les catastrophes naturelles (3). Cette affirmation prend aujourd’hui tout son sens alors que l’on parle déjà de pandémie numérique. Le Covid-19 est en effet le leurre à phishing « le plus utilisé depuis des années, voire depuis toujours » d’après les chercheurs de Proofpoint (4) et les établissements de santé, insuffisamment préparés à ce type d’attaques, sont des cibles de choix pour des hackers malintentionnés dans le contexte actuel.
Il est donc très probable que les assureurs porteurs de garanties cyber soient rapidement confrontés à une difficulté majeure : comment couvrir des sinistres si nombreux et importants sans avoir pu les anticiper ? En effet, les garanties cyber, purement contractuelles, prévoient notamment que les pertes d’exploitation résultant d’une cyber-attaque doivent être prises en charge.
Dans le même temps, sur le plan économique, aucun assureur n’a pu anticiper une telle sinistralité en lien avec une pandémie. En pareille situation, l’indemnisation des pertes d’exploitation en cause est ainsi soumise aux stipulations contractuelles de la police qui sont notamment en lien avec les niveaux de sécurité et de conformité de l’assuré.Or, du fait de la précipitation des mesures sanitaires d’urgence et du climat anxiogène généré, les faiblesses des entreprises du point de vue de leur mise en conformité et de la sécurité de leurs systèmes d’information se révèlent autant d’arguments se heurtant à l’indemnisation de leurs préjudices.
C’est pourquoi il apparait que « l’après Covid-19 » devrait pousser les entreprises à se mettre en conformité et intégrer ces notions de manière systématique.
Les enjeux en matière de protection des données
Depuis quelques mois, la CNIL ne cesse d’émettre des recommandations et avis sur les bonnes pratiques à observer dans le cadre de la crise sanitaire sans précédent que nous connaissons. C’est ainsi que, dès le mois de mars, l’autorité de contrôle rappelait à titre préventif les règles relatives à la collecte de données, notamment de santé (5), mais encore le cadre légal des SMS du gouvernement aux Français (6) afin d’éviter toute dérive ou inquiétude sur ces questions.
Par la suite, le régulateur conseillera les entreprises dans la mise en place du télétravail (7) ainsi que sur les outils de visioconférence (8). La multiplication de ces conseils de la CNIL est révélatrice des lacunes des acteurs du marché sur ces sujets et notamment des non-conformités voire des failles de sécurité en résultant.
Nous l’avons vu précédemment la cyber-assurance peut être un vecteur de conformité en poussant les assurés à augmenter leur niveau de maturité en termes d’hygiène numérique mais cette assurance doit pourtant être perçue comme destinée à couvrir un risque résiduel. En d’autres termes, le recours à une cyber-assurance doit être subsidiaire et donc faire suite à un processus d’analyse des risques et de mise en conformité efficace et pilotée.
Si cette vérité préexistait à la crise sanitaire, cette dernière met en évidence l’urgence à réagir et à se mettre en conformité dans le double objectif d’éviter toute poursuite de la CNIL, dont les sanctions sont de plus en plus sévères, et de se prémunir contre les cyber-risques au sens large. Finalement, parler de pandémie numérique prend tout son sens et les acteurs économiques ne pourront pas s’affranchir d’une analyse du risque numérique, de mesures correctives et d’une cyber-assurance pour le risque résiduel.
Ainsi, face au risque numérique systémique, la prévention et la conformité restent les meilleurs atouts.
(3) Le Lloyd’s compare le risque cyber à celui des catastrophes naturelles (AGEFI – 18/07/2017)
(4) Covid-19 : pas de trêve pour les cyberattaques (Les Echos – 24/03/2020)
(6) Le gouvernement s’adresse aux Français par SMS : le cadre légal applicable (CNIl – 19/03/2020)
(7) Les conseils de la CNIL pour mettre en place du télétravail (CNIL – 01/04/2020) et Salariés en télétravail : quelles sont les bonnes pratiques à suivre ? (CNIL – 01/04/2020)
(8) COVID-19 : les conseils de la CNIL pour utiliser les outils de visioconférence (CNIL – 09/04/2020)