skip to Main Content

Débat du Club des juristes « Assurer le risque Cyber »

Le Club des juristes a organisé, le 13 février 2018, un débat à l’occasion de la publication du premier rapport de la Commission Cyber Risk, sur le thème « Assurer le risque Cyber ».

Ce débat a été mené par :

Bernard Spitz, Président de la Commission Cyber Risk du Club des juristes, Président de la Fédération Française de l’Assurance (FFA) ;
Puis par Mariette Bormann, Directrice adjointe Conformité, FFA.

Avec la participation de :

Valérie Lafarge-Sarkozy, Secrétaire générale de la Commission Cyber Risk du Club des juristes, Avocat associée, Cabinet Altana ;
Nicolas Arpagian, Membre de la Commission Cyber Risk du Club des juristes, Directeur de la Stratégie et des Affaires publiques, Orange Cyberdefense ;
Philippe Cotelle, Membre de la Commission Cyber Risk du Club des juristes, Head of Insurance Risk Management, Airbus Defence and Space, Vice-President de la Commission Cyber de l’Association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE) ;
Emmanuel Silvestre, Senior Vice president Risques financiers, Liberty Mutual.

Avec notamment les interventions de :

Brigitte Bouquot, Membre de la Commission Cyber Risk du Club des juristes ; VP Insurance and Risk Manager, Thales,
   Présidente de l’Association pour le management des risques et des assurances de l’entreprises (AMRAE) ;
Luc Vignancour, Cyber and Crime Practice Leader, Marsh.

Le débat s’est ouvert sur une présentation de l’étude de la Commission Cyber Risk par son président, Bernard Spitz. Les cyber-risques touchent les entreprises comme les particuliers et se développent avec une grande rapidité. La Commission Cyber Risk entend apporter des éléments de réponse concrets et opérationnels aux divers problèmes qu’ils posent. Elle a l’avantage de réunir des professionnels d’horizons différents, comptant parmi ses membres des représentants d’institutions publiques (ANSSI, Parquet de Paris, Police judiciaire, Union Européenne, Université Paris II), de l’AMRAE, de l’OCDE, des avocats, des assureurs et réassureurs, des risk managers, des grandes entreprises françaises et internationales, des spécialistes de la sécurité, ce qui lui permet d’avoir une approche pluridisciplinaire du sujet.

La Commission Cyber Risk a choisi de diviser son étude en trois cahiers, dont le premier, diffusé en février 2018, est consacré à l’assurance des cyber-risques. Les entreprises sont de plus en consciente du développement constant des cyber-risques et du danger qu’ils représentent. Néanmoins, elles tardent encore à se doter d’une assurance adaptée à cette menace particulière. Par ailleurs, les cyber-risques posent, pour la communauté des assureurs, des questions d’adaptation et de discussions avec les pouvoirs publics sur l’évolution de la réglementation, notamment au niveau européen. La Commission produira deux autres cahiers, l’un portant sur les aspects juridiques de la question des cyber-risques, l’autre traitant de la prévention des cyber-risques et du développement d’une éducation aux cyber-risques.

Valérie Lafarge-Sarkozy explique que l’assurance contre les cyber-risques présente de nombreux avantages pour l’entreprise qui la souscrit. En premier lieu, elle apporte une sécurité économique, par la couverture de nombreux dommages induits par un cyber-incident (cf le tableau des risques couverts, p. 40 du rapport « Assurer le risque »). Par ailleurs, pour pouvoir souscrire une cyber-assurance adaptée à son cas, l’entreprise mène une réflexion très utile sur sa chaîne des valeurs (données susceptibles d’être convoitées, failles de sa sécurité, degré de protection contre les cyber-risques des entreprises partenaires, formation aux cyber-risques de ses salariés). En outre, une bonne protection contre les cyber-risques constitue un instrument de valorisation d’une entreprise. La lutte contre les cyber-risques nécessite l’action commune de tous les acteurs d’une entreprise (direction, ressources humaines, services informatiques, risk manager, métiers, etc.), pour la protéger elle, ses données, mais également son dirigeant, dont la responsabilité peut être mise en cause en cas de cyber-attaque, sur le fondement d’une protection insuffisante dans ce domaine (cyber gouvernance).

Pour Philippe Cotelle, l’assurance est la dernière étape d’une stratégie de gouvernance efficace contre les cyber-risques (identification, quantification, mitigation, et, enfin, transfert du risque). Le marché de l’assurance cyber, en développement, nécessite des améliorations, telles que la mise en place d’un vocabulaire commun pour faciliter le dialogue entre les assureurs et les assurés ; le renforcement de la confiance entre l’entreprise et l’assureur pour permettre un meilleur échange des informations sensibles de l’assuré (comme les failles de sécurité, les données susceptibles d’être convoitée, le fait d’avoir été victime d’une cyber-attaque) ; le développement du recours au tiers de confiance pour le règlement du sinistre. Ainsi, le fait de mettre en place une stratégie de gouvernance complète, dont une assurance cyber efficace, permet la valorisation de l’entreprise, tout en augmentant les capacités de résilience de l’économie française.

Nicolas Arpagian ajoute que la particularité du cyber-risque est également qu’une entreprise peut en être victime sans en avoir conscience. Ainsi, le vol de données peut se faire de manière très souterraine, sur une longue période. Par ailleurs, c’est la détention d’un équipement par une entreprise qui la désigne comme cible d’une cyber-attaque, pas son activité, ni sa taille ou son emplacement géographique. Tous les types de sociétés peuvent donc être victimes d’une attaque de dimension internationale. La législation européenne fait peser de plus en plus une responsabilité sur le donneur d’ordre. En conséquence, les grands groupes vont choisir les petites et moyennes entreprises partenaires en fonction de leur degré de protection contre les cyber-risques. Les opérateurs de télécom, tel que Orange, s’interrogent, actuellement, sur la possibilité de protéger en amont le réseau internet de certains cyber-risques, avant son arrivée auprès des utilisateurs.

Emmanuel Silvestre évoque les problèmes que posent les cyber-risques du point de vue des assureurs. En effet, l’offre dans le domaine de l’assurance des cyber-risques est particulièrement complexe, les assureurs doivent la clarifier. Il existe des assurances dédiées aux cyber-risques, qui couvrent essentiellement les dommages immatériels et financiers qu’ils provoquent. Les risques de cumul sont nombreux, notamment en raison du fait que les polices d’assurance classiques (tels que les contrats de dommages aux biens, Responsabilité civile, Responsabilité du dirigeant, Fraude, etc.) couvrent partiellement divers dommages liés à un incident cyber (silent covers). En termes de sécurité juridique, une incertitude demeure quant au caractère assurable des amendes, des sanctions administratives, et des rançons. L’essentiel est que le législateur prenne position, pour que tous les assureurs soient soumis à la même règle. L’assurance est une mesure indispensable mais complémentaire d’un plan de gouvernance, elle ne suffit pas, à elle seule, à garantir l’entreprise contre les cyber-risques.

Luc Vignancour revient sur l’adaptabilité du marché de l’assurance cyber aux besoins des assurés. Le marché européen, face aux cyber-risques, a davantage développé l’assurance des conséquences financières des cyber-risques, contrairement au marché anglo-saxon, qui s’est focalisé sur la responsabilité civile. L’approche européenne est plus globale, et commence à intéresser les pays anglo-saxons.

Brigitte Bouquot clôt le débat en insistant sur le caractère majeur de l’enjeu des cyber-risques. Les entreprises doivent prendre conscience de la menace et se donner les moyens de se protéger contre elle. Tous doivent s’engager dans ce sens.

Les questions de la salle ont porté sur les moyens d’aider les PME à prendre conscience du problème des cyber-risques et à se protéger contre cette menace, la nécessité de mettre en place une veille des attaques cyber, l’utilisation des faits justificatifs de droit pénal général pour la question du paiement de la rançon, le niveau – européen ou mondial- de labellisation à préconiser et, enfin, la question du caractère obligatoire de l’assurance cyber.

Back To Top
×Close search
Rechercher