Il existe actuellement 16 contrats d’assurance contre les cyber-risques courus par les entreprises en France, sans compter les contrats proposés par les courtiers. « Le monde du courtage est concurrentiel », c’est ce que pointe Nicolas Hélénon, cogérant de Neotech Assurances, courtier spécialisé dans la cyber-assurance.
Clarifier les zones d’ombre dans les contrats
Le marché de la cyber assurance gagne en maturité dans l’hexagone mais il reste encore de nombreuses zones d’ombre dans les contrats d’assurance, reconnaît Christophe Delcamp, directeur adjoint Assurances de dommages et responsabilité de la FFA (Fédération Française de l’Assurance).
Il appelle les chefs d’entreprises à demander une explication des clauses de leur contrat, afin de sortir de la zone de gris, les « silent covers », ces protections qui existent en doublon et dont les chefs d’entreprise ignorent l’existence.
Il ajoute que des situations doivent être clarifiées, telles que les cas de guerre – officieuse ou officielle – entre Etats dans le déclenchement d’attaques informatiques sur une entreprise et leur impact sur son activité, impact qui sera indemnisable ou pas selon l’arbitrage de l’assureur. Les deux intervenants ont pris la parole à l’occasion de l’événement organisé par le Medef le 14 octobre dans son siège parisien, sur le thème de la protection face aux attaques informatiques des TPE (Toutes petites entreprises), PME (Petites et moyennes entreprises) et ETI (Entreprises de taille intermédiaires).
Trois enjeux sont à couvrir dans chaque contrat
Nicolas Hélénon de Neotech Assurances rappelle que les contrats de cyber assurance doivent couvrir 3 grands enjeux : la reconstitution des données ainsi que la remise en état opérationnel de l’entreprise après une attaque, la couverture de la perte d’exploitation ou de la marge brute d’exploitation et la gestion de crise. Cette gestion de crise concerne notamment la communication vers les clients afin de les rassurer et la gestion du dialogue avec la Cnil via un avocat. La Cnil peut se montrer en effet plus ou moins intransigeante selon l’attitude de l’entreprise.
Il indique ainsi que la Cnil a pénalisé Darty de 100 000 € d’amende tandis que le loueur de voiture Hertz pour sa part n’était sanctionné que de 40 000 € lors de failles informatiques. De fait, le premier avait tenté de renvoyer la faute sur un prestataire tandis que Hertz avait fait amende honorable et avait fait en sorte de corriger le problème bien que celui-ci soit du à l’erreur d’un sous traitant informatique.
Enfin, lors d’une attaque informatique, il ne faut jamais oublier que l’on peut être trainé devant les tribunaux pour le préjudice causé à un tiers qui peut surgir de la manière la plus inopinée. Si un hacker utilise le rebond depuis l’un des systèmes informatiques de votre entreprise pour attaquer une autre entreprise, qui peut être votre client ou votre prestataire, votre responsabilité civile est engagée si votre adresse IP apparaît dans les transactions, pointe Nicolas Hélénon. De quoi nécessiter a minima la souscription d’une assurance RC (Responsabilité Civile) dans ce cadre, conclut-il.
