Emmanuèle Lutfalla, avocate associée, Deborah Azerraf, avocate, Alice Decramer, avocate et Eva Biezunski, du cabinet Signature Litigation, estiment que la pandémie de Covid-19 et la recrudescence des attaques cyber à cette occasion constituent une bonne opportunité pour réfléchir aux produits d'assurance cyber.
La pandémie du COVID-19 s'est très vite avérée être une période propice aux attaques cyber du fait de l'exposition accrue des entreprises. Cette situation ravive d'autant les discussions portant à la fois sur la couverture assurantielle du risque cyber mais aussi sur le produit d'assurance cyber en tant que tel.
La recrudescence des attaques cyber
Le recours massif au télétravail, l'ouverture des réseaux, l'utilisation des équipements personnels (« Bring Your Own Device ») et la concentration de l'activité des DSI sur l'équipement et l'accessibilité à distance des outils par le personnel parfois au détriment de la sécurité informatique n'ont fait qu'accroître le champ des attaques cyber.
Un niveau de souscription encore faible
Classé premier risque pour 2020 et certainement prioritaire en 2021, les polices d'assurances cyber se multiplient. Pour autant, selon une étude CESIN seules 50% des entreprises avaient souscrit une assurance cyber début 2019. Bien que 90% des entreprises du CAC 40 soient couvertes pour les risques cyber, seules 20 à 25% des ETI et 5% des PME le sont. Pourtant, le taux de primes a atteint son niveau le plus bas au 4ème trimestre 2019.
L'impact de la pandémie COVID-19 sur l'assurance cyber
Une sinistralité à surveiller
La crise sanitaire actuelle n'a pas entrainé une hausse des déclarations de sinistre cyber auprès des assureurs, dès lors que :
- Pour les grands groupes, les attaques cyber actuelles constituent pour l'heure des sinistres de fréquence qui sont gérés sous franchise,
- Pour les TPE et PME, principales victimes des attaques cyber, il y a bien souvent un délai de plusieurs mois entre la survenance du sinistre cyber et sa déclaration auprès de l'assureur compte tenu de la difficulté de détection de certaines attaques et de la priorité donnée au maintien de la trésorerie.
Aucune conclusion ne peut encore être tirée sur l'évolution de la sinistralité du risque cyber en période de COVID-19. L'analyse de la sinistralité nourrira certainement les discussions sur le potentiel caractère systémique du risque cyber, les assureurs craignant qu'un même événement cyber puisse déclencher, en même temps, plusieurs polices d'assurance pour un même assuré et chez plusieurs assurés.
Une opportunité de réflexion sur le produit d'assurance cyber
Les produits d'assurance cyber n'ont pas beaucoup évolué depuis leur apparition sur le marché dans les années 90. Pourtant, il a été constaté une augmentation des attaques, une insertion croissante de clauses d'exclusions du risque cyber dans les polices traditionnelles et un morcellement de la couverture du risque cyber autour de polices d'assurance traditionnelles (absence d'exclusion du risque cyber (« silent coverage »)et/ou souscription d'une extension) et de polices cyber spécifiques.
Dans ces conditions, la recrudescence des attaques cyber pendant la période actuelle pourrait inciter les assureurs à mener les réflexions suivantes :
- La nécessité de revoir l'architecture des produits d'assurance cyber pour faciliter leur lisibilité et donc doper leur attractivité à la souscription, en particulier pour les PME et TPE,
- La promotion des polices cyber spécifiques qui présentent certains avantages en cette période de crise :
- Sans exclusion au titre de la pandémie et disposant d'une couverture suffisamment large pour ne pas différencier entre les équipements professionnels et personnels,
- Disposant d'un volet assistance qui constitue un réel atout en période de crise (ex : déclarations CNIL devenues obligatoires depuis l'entrée en vigueur du RGPD). D'autant plus que les assureurs ont su garantir la continuité de leur hotline à ce titre.
Ainsi, et abstraction faite de la couverture, le mécanisme des polices d'assurance cyber spécifiques apparait adapté à des périodes de crise comme celle du COVID-19 sous réserve que les assurés ne se voient pas opposer l'aggravation du risque en cours de contrat en raison du recours massif au télétravail par exemple. Sur cette question, tout dépendra des déclarations de l'assuré au moment de la souscription. D'ailleurs, les assureurs durciront certainement leur questionnaire à l'avenir sur l'étendue du recours au télétravail.
Enfin, la recrudescence des attaques cyber que nous constatons aujourd'hui permettra d'alimenter les données actuarielles indispensables à la proposition de produits d'assurance réellement adaptés, à condition qu'une veille efficace des attaques soit menée et que les assurés consentent à un réel partage d'informations à ce sujet.
En conclusion, la propagation de la pandémie COVID-19 n'impactera probablement pas l'analyse des assureurs sur les garanties mobilisables en cas de sinistre cyber intervenu pendant cette période. Cependant, nous pensons que les données issues de cette crise constitueront des outils pour les assureurs pour adapter leurs produits d'assurance et augmenter le taux de souscriptions des PME et TPE.
Emmanuèle Lutfalla, avocate associée, Deborah Azerraf, avocate, Alice Decramer, avocate et Eva Biezunski, du cabinet Signature Litigation
