Jeudi 18 mars 2021
Interview de Maître Pierre CRAPONNE, responsable du département Protection des Données et Cyber-Risques à propos de l’incendie d’OVH par Nessim BEN GHARBIA pour la Tribune de l’Assurance
Pierre Craponne analyse les conséquences en assurance de l’incendie du datacenter d’OVH et identifie les polices qui peuvent être invoquées pour couvrir les sinistres.
Quels types d’assurances entrent en jeu dans ce genre de sinistre ?
Cela dépend d’où on se place dans la chaîne des responsabilités. Si on se place du côté d’OVH, il y aura la couverture incendie classique qui prendra en charge les dommages matériels et immatériels consécutifs à l’incident en fonction des termes de la police.
Ensuite, nous aurons un volet responsabilité, et nous pourrions envisager que la police RC exploitation classique d’OVH puisse être mobilisée pour les recours des tiers. Beaucoup de clients reprochent en effet à OVH de ne pas avoir fait ce qu’il fallait et de ne pas avoir anticipé l’incendie. Il y a donc un risque réel d’engagement de responsabilité pour OVH, en addition de ses dommages matériels.
En revanche, les polices classiques RC ou incendie excluent généralement les risques liés à la préservation des données car ce risque est considéré comme imprévisible d’un point de vue du chiffrage sur une police généraliste. Dans ce cas de figure, les polices cyber sont les plus à même d’intervenir efficacement.
Sur ce type de sinistre, qui a endommagé certaines installations d’OVH, la police cyber est fondamentale car elle permettra d’éviter les exclusions trop générales mentionnées dans les polices traditionnelles (RC et incendie) et d’assurer à OVH une prise en charge effective et adaptée des recours.
Quels sont les solutions d’assurance que pourront activer les clients d’OVH ?
Pour les pertes subies par les clients, dont au premier plan les pertes d’exploitation, elles seront en principe prises en charge par les polices d’assurance cyber souscrites. Le vrai sujet va être le chiffrage de ces pertes, pour segmenter ce qui est vraiment imputable à la privation d’accès aux outils informatiques de ce qui ne l’est pas.
Pour un commerce qui fait uniquement de la vente en ligne, la quantification sera beaucoup plus facile : l’entreprise assurée devra montrer la recette qui aurait été générée si le commerce n’avait pas été arrêté. Attention toutefois à la possibilité qu’ont les assureurs d’opposer une absence ou une inefficacité des plans de continuité d’activité qui doivent permettre de réduire les pertes. Paradoxalement, cet incident peut avoir des répercussions positives en montrant aux entreprises qu’il ne faudra pas se reposer uniquement sur un seul hébergeur sans sécurisation annexe. Il faut toujours une solution de repli et de sauvegarde pour pouvoir reprendre l’activité rapidement.
Les pertes d’exploitation des clients d’OVH sont-elles plafonnées en montant ?
Les garanties sont en effet plafonnées et généralement indexées sur le chiffre d’affaires. Il y a un autre sujet, celui de la valorisation de la donnée. Les données perdues dans l’incendie d’OVHcloud à Strasbourg ont une valeur pour les entreprises. On peut avoir des plafonds en montant sur la perte des données dans des polices cyber, mais c’est quelque chose qui est encore très compliqué à quantifier et à anticiper : on réalise souvent la valeur des données après les avoir perdues.