Cyber-assurance : ce que couvrent les polices et obligations

La cyber-assurance est devenue un outil de gestion des risques incontournable pour les organisations confrontees a la multiplication des cyberattaques et au durcissement du cadre reglementaire. Le marche francais de la cyber-assurance connait une croissance soutenue, portee par la prise de conscience des risques numeriques et par les exigences croissantes des partenaires commerciaux et des autorites de controle. L’analyse des garanties offertes, des exclusions applicables et du cadre juridique en vigueur est essentielle pour tout responsable souhaitant integrer la cyber-assurance dans sa strategie de protection.

Le cadre juridique de la cyber-assurance en France

La loi LOPMI et l’obligation de depot de plainte

La loi d’orientation et de programmation du ministere de l’interieur (LOPMI) du 24 janvier 2023 a introduit une disposition majeure pour le marche de la cyber-assurance. L’article L.12-10-1 du code des assurances, issu de l’article 5 de la LOPMI, dispose que le versement d’une somme au titre d’une clause d’assurance couvrant les pertes et dommages causes par une atteinte a un systeme de traitement automatise de donnees est subordonne au depot d’une plainte par la victime aupres des autorites competentes au plus tard dans les 72 heures suivant la connaissance de l’atteinte.

Cette disposition conditionne l’indemnisation a une demarche active de la victime : sans depot de plainte dans le delai imparti, l’assureur peut refuser le versement de la garantie. Cette exigence vise a encourager le signalement des cyberattaques aux autorites judiciaires et a ameliorer la connaissance statistique du phenomene.

L’articulation avec le RGPD

Le RGPD impose la notification des violations de donnees personnelles a la CNIL dans un delai de 72 heures (article 33) et, le cas echeant, aux personnes concernees (article 34). La cyber-assurance ne se substitue pas a ces obligations : elle couvre les consequences financieres de l’incident mais ne dispense pas l’assure de ses obligations de notification.

Les polices de cyber-assurance incluent generalement une garantie d’assistance en gestion de crise qui peut couvrir les frais de notification aux autorites et aux personnes concernees, les honoraires d’avocats specialises et les frais de communication de crise. Cette assistance peut s’averer decisive pour respecter les delais de notification imposes par le RGPD.

L’articulation avec NIS2

La directive NIS2 impose aux entites essentielles et importantes des obligations de notification des incidents significatifs a l’autorite competente (en France, l’ANSSI). Les sanctions NIS2 peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial. La cyber-assurance peut couvrir les frais lies a la gestion de l’incident mais ne couvre generalement pas les amendes administratives elles-memes (voir ci-dessous les exclusions).

Les garanties typiques d’une police de cyber-assurance

La couverture des dommages propres

Les garanties de dommages propres couvrent les pertes directes subies par l’assure a la suite d’un incident informatique :

La perte d’exploitation. La garantie couvre la perte de marge brute resultant de l’interruption ou du ralentissement de l’activite a la suite d’un incident informatique. Cette garantie est generalement assortie d’une franchise temporelle (delai de carence) pendant lequel la perte n’est pas indemnisee, et d’une duree d’indemnisation maximale.

Les frais de restauration des systemes. La garantie couvre les couts de reconstitution des systemes d’information, de restauration des donnees a partir des sauvegardes, de reinstallation des logiciels et de remise en service de l’infrastructure. Ces frais peuvent etre considerables, notamment en cas d’attaque par ransomware.

Les frais de gestion de crise. Cette garantie couvre les honoraires des consultants en securite informatique (forensic), des avocats specialises, des experts en communication de crise et des prestataires de notification. Elle peut egalement couvrir les frais de mise en place d’un centre d’appels pour les personnes concernees en cas de violation de donnees.

Les frais de rancon (selon les polices). Certaines polices couvrent le paiement de rancons en cas d’attaque par ransomware, sous reserve du depot de plainte prealable impose par la LOPMI. Cette garantie est controversee : les autorites francaises, et notamment l’ANSSI, deconseillent le paiement des rancons car il alimente l’economie criminelle et n’offre aucune garantie de recuperation des donnees.

La couverture de la responsabilite civile

Les garanties de responsabilite civile couvrent les reclamations de tiers resultant d’un incident informatique :

La responsabilite en cas de violation de donnees. La garantie couvre les reclamations des personnes dont les donnees personnelles ont ete compromises. Elle inclut les frais de defense, les dommages-interets et les frais de transaction amiable.

La responsabilite en cas de transmission de logiciels malveillants. La garantie couvre les reclamations de tiers resultant de la transmission de virus ou de logiciels malveillants depuis les systemes de l’assure.

La responsabilite en cas de manquement a la securite. La garantie couvre les reclamations liees a un manquement aux obligations de securite de l’assure, ayant cause un prejudice a un tiers (client, partenaire, sous-traitant).

Les garanties complementaires

Selon les polices, des garanties complementaires peuvent etre proposees :

• La cyber-extorsion : couverture des frais lies a une menace d’attaque ou de divulgation de donnees.
• La fraude informatique : couverture des pertes financieres resultant d’une fraude au president ou d’un detournement de fonds par manipulation informatique.
• L’atteinte a la reputation : couverture des frais de communication et de relations publiques pour limiter l’impact reputationnel d’un incident.
• Les sanctions reglementaires (dans les limites de l’assurabilite) : couverture des frais de defense devant les autorites de controle.

Les exclusions courantes

Les exclusions generales

Les polices de cyber-assurance comportent des exclusions qui limitent la portee des garanties :

Les amendes et sanctions administratives. La plupart des polices excluent la couverture des amendes administratives (sanctions CNIL, sanctions NIS2, sanctions DORA). L’assurabilite des amendes est un sujet debattu en droit francais : la jurisprudence tend a considerer que l’assurance des sanctions penales et administratives est contraire a l’ordre public (article L.113-1 du code des assurances). Certaines polices couvrent neanmoins les frais de defense devant les autorites de controle.

Les actes intentionnels. Les dommages resultant d’un acte intentionnel de l’assure ou de ses dirigeants sont exclus. Cette exclusion est conforme au principe general du droit des assurances (article L.113-1 du code des assurances).

La guerre et le terrorisme. Les incidents attribuables a des actes de guerre ou de terrorisme sont generalement exclus. L’attribution d’une cyberattaque a un Etat ou a un groupe terroriste est neanmoins un exercice delicat qui a donne lieu a des contentieux importants sur le marche international de la cyber-assurance.

Le defaut de conformite prealable. Certaines polices excluent ou limitent les garanties lorsque l’assure n’a pas mis en oeuvre les mesures de securite minimales requises par le contrat (par exemple, absence de sauvegardes, absence d’authentification multi-facteurs, absence de mises a jour de securite).

Les exclusions specifiques

Les pertes de donnees non sauvegardees. Certaines polices excluent la couverture des frais de reconstitution des donnees qui n’etaient pas sauvegardees conformement aux bonnes pratiques.

Les systemes obsoletes. Les incidents affectant des systemes d’exploitation ou des logiciels qui ne sont plus maintenus par l’editeur peuvent etre exclus.

La responsabilite contractuelle excessive. Les engagements contractuels de l’assure envers ses clients qui depassent la responsabilite legale de droit commun peuvent etre exclus.

Le processus de souscription

L’evaluation des risques

La souscription d’une police de cyber-assurance est precedee d’une evaluation des risques conduite par l’assureur ou son courtier. Cette evaluation porte sur :

• La politique de securite de l’information de l’organisation.
• Les mesures de securite techniques deployees (pare-feu, antivirus, DLP, chiffrement, segmentation reseau).
• Les procedures de gestion des incidents et les plans de continuite d’activite.
• Les certifications obtenues (ISO 27001, SOC 2, HDS).
• L’historique des incidents de securite.
• Le volume et la nature des donnees personnelles traitees.

Les conditions prealables

Les assureurs exigent de plus en plus la mise en oeuvre de mesures de securite minimales comme condition de souscription :

• Authentification multi-facteurs (MFA) sur les acces distants et les comptes privilegies.
• Sauvegardes regulieres, testees et stockees hors ligne (protection contre les ransomwares).
• Politique de mise a jour et de correction des vulnerabilites.
• Segmentation du reseau et controle d’acces.
• Programme de sensibilisation a la securite des collaborateurs.
• Plan de reponse aux incidents documente et teste.

Le non-respect de ces conditions peut entrainer un refus de garantie ou une majoration significative de la prime.

Le cout des primes

Le cout de la prime de cyber-assurance depend de nombreux facteurs : taille de l’organisation, chiffre d’affaires, secteur d’activite, volume de donnees personnelles traitees, niveau de securite, historique des sinistres, montant des garanties et franchises choisies.

En ordre de grandeur, pour une ETI francaise :

• Prime annuelle : de 5 000 a 50 000 euros pour des plafonds de garantie de 1 a 5 millions d’euros.
• Franchises : de 10 000 a 100 000 euros selon les garanties.

Le marche a connu un durcissement significatif entre 2020 et 2023 (hausse des primes, resserrement des conditions), suivi d’une stabilisation relative a partir de 2024.

La gestion d’un sinistre cyber

La declaration du sinistre

En cas d’incident informatique, l’assure doit :

1. Declarer le sinistre a l’assureur dans les delais prevus au contrat (generalement 48 a 72 heures).
2. Deposer plainte aupres des autorites competentes dans les 72 heures suivant la connaissance de l’atteinte (obligation LOPMI).
3. Notifier la CNIL dans les 72 heures en cas de violation de donnees personnelles (obligation RGPD).
4. Notifier l’ANSSI en cas d’incident significatif affectant une entite soumise a NIS2.

La concomitance de ces obligations impose une coordination rigoureuse des demarches de declaration et de notification.

L’intervention des prestataires

L’assureur active generalement un reseau de prestataires prequalifies : experts en forensic informatique pour l’investigation technique, avocats specialises pour le conseil juridique et la gestion des notifications, consultants en communication de crise, prestataires de remise en service des systemes. L’assure est generalement tenu de recourir aux prestataires designes par l’assureur pour beneficier de la garantie.

L’indemnisation

L’indemnisation est versee apres evaluation du prejudice, deduction de la franchise et dans la limite du plafond de garantie. Les assureurs exigent la production de pieces justificatives : factures des prestataires, attestation de depot de plainte, justificatifs de perte d’exploitation, rapports d’investigation.

FAQ

La cyber-assurance couvre-t-elle les amendes RGPD prononcees par la CNIL ?

En principe, non. L’assurabilite des amendes administratives est un sujet debattu, mais la position majoritaire en droit francais est que l’assurance des sanctions a caractere punitif est contraire a l’ordre public. Les polices de cyber-assurance excluent generalement les amendes administratives de leur perimetre de couverture. En revanche, elles couvrent les frais de defense devant les autorites de controle (honoraires d’avocats, frais de procedure) et les frais de mise en conformite imposes par la CNIL a la suite d’une sanction.

Le depot de plainte dans les 72 heures est-il obligatoire pour etre indemnise ?

Oui, depuis l’entree en vigueur de l’article L.12-10-1 du code des assurances (loi LOPMI du 24 janvier 2023). Le versement de l’indemnisation au titre d’une police de cyber-assurance couvrant les pertes et dommages causes par une atteinte a un systeme de traitement automatise de donnees est subordonne au depot d’une plainte dans les 72 heures suivant la connaissance de l’atteinte. Le non-respect de ce delai peut entrainer un refus de garantie par l’assureur. Cette obligation s’applique aux personnes morales et aux personnes physiques dans le cadre de leur activite professionnelle.

Quelles mesures de securite faut-il mettre en place pour obtenir une couverture cyber-assurance ?

Les assureurs exigent generalement un socle minimal de mesures de securite comme condition de souscription : authentification multi-facteurs sur les acces distants et les comptes privilegies, sauvegardes regulieres testees et stockees hors ligne, politique de mise a jour des correctifs de securite, segmentation du reseau, programme de sensibilisation des collaborateurs et plan de reponse aux incidents documente. Le defaut de mise en oeuvre de ces mesures peut entrainer un refus de souscription, une exclusion de garantie ou une majoration de la prime. La certification ISO 27001 ou la conformite aux recommandations de l’ANSSI constituent des elements valorises par les assureurs.