La systématisation des risques dits émergents – urgence climatique, pandémies, terrorisme, multiplication des conflits armés[1] – nécessite de repenser la question de leur assurabilité.
Cette question est cruciale pour les compagnies d’assurances qui, en quête de prévisibilité, sont tenues de sélectionner les risques à indemniser et sont soumises à ce titre au contrôle de l’ACPR (Autorité de Contrôle Prudentiel et de Résolution)[2].
Le Rapport de la Direction générale du Trésor sur « Le développement de l’assurance du risque cyber » introduit le résultat d’une analyse menée sur plus d’un an[3] en ces termes :« Si les technologies du numérique génèrent des gains de productivité et créent de nouveaux marchés, elles ont également conduit à l’émergence d’un nouveau risque : le risque cyber »[4].
En Europe, l’épidémie de Covid-19 puis le conflit russo-ukrainien ont notamment eu pour conséquence d’amplifier le phénomène des menaces informatiques, déjà en forte augmentation[5]. En 2021, 54 % des entreprises auraient fait l’objet d’une cyberattaque[6]. Plus particulièrement, les attaques par rançongiciels[7] ont été multipliées par dix en trois ans[8].
Pourtant, le rapport précité[9] constate que le marché français de l’assurance cyber demeure peu développé. L’un des facteurs de ce retard résiderait dans l’incertitude liée au cadre juridique des garanties cyber. D’une part, jusqu’en décembre 2022 il n’existait pas de catégorie identifiée pour les contrats et garanties « cyber » dans le code des assurances – ceux-ci pouvaient donc relever de diverses catégories (dommages aux biens, responsabilité civile, pertes pécuniaires), sans que celles-ci ne soient parfaitement adaptées aux spécificités de l’assurance cyber[10]. D’autre part, un flou subsistait quant à la légalité même de l’assurabilité des rançons payées par les entreprises en cas d’attaque.
-
L’apparition bienvenue d’un cadre juridique pour l’assurance cyber
Le 7 décembre 2022, au terme de vifs débats parlementaires, l’Assemblée nationale a définitivement voté l’adoption de la Loi d’Orientation et de Programmation du ministère de l’Intérieur (LOPMI). Dans le cadre d’une « démarche globale de lutte contre la cybercriminalité »[11], la LOPMI prévoit, conformément à l’une des recommandations du Ministère de l’économie dans son rapport[12], de subordonner le « versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé […] au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime ».
Il s’agit d’une règle d’ordre public, limitée aux personnes physiques et morales agissant dans le cadre de leur activité professionnelle.
Cette disposition fait l’objet d’un nouvel article L. 12-10-1 du code des assurances qui entrera en vigueur trois mois après la promulgation de la loi, soit le 24 avril 2023. D’ici là, il serait opportun pour les assureurs d’avoir d’ores et déjà identifié dans leurs contrats les garanties susceptibles d’être subordonnées à cette nouvelle condition de garantie et informé en conséquence leurs assurés sur la sanction applicable en cas de non-respect, notamment si cela entraîne une déchéance de garantie. En effet, à défaut d’un dépôt de plainte pénale dans le délai précité de 72 heures, les assurés seront dépourvus de leur droit à indemnisation[13].
En parallèle, deux nouvelles catégories ministérielles de garanties ont été ajoutées au code des assurances (article A. 344-2) : « 32. Dommages aux biens consécutifs aux atteintes aux systèmes d’information et de communications » et « 33. Pertes pécuniaires consécutives aux mêmes atteintes ». Désormais, les assureurs devront distinguer les garanties cyber 32 et 33 dans l’inventaire de leurs engagements, ainsi qu’établir des reporting annuels pour ces nouvelles catégories[14] – dans le cadre des obligations de communication d’informations aux autorités et au public prévues par la réforme réglementaire Solvabilité II[15].
-
Un triple intérêt pour les acteurs de la lutte contre la cybercriminalité
Tout d’abord, le texte final porte sur tout contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une cyber-attaque. Contrairement à ce qui était initialement prévu, l’indemnisation n’est donc plus limitée à la garantie des rançons mais peut concerner « toutes les conséquences d’une attaque informatique » telles que « les pertes d’exploitation, les coûts de remédiation et le paiement d’une rançon »[16].
Ensuite, l’encadrement de l’indemnisation des conséquences de cyberattaques a pour objectif de faciliter l’intervention des pouvoirs publics dans la lutte contre la cybercriminalité[17].
Le dépôt de plainte obligatoire permettra d’informer systématiquement les autorités en cas d’incident et alimentera ainsi leur connaissance des méthodes cybercriminelles. Jusqu’à présent en effet, de nombreuses entreprises hésitaient à alerter les autorités, par crainte de nuire à leur image[18] ou de se voir reprocher un manque de diligence dans la gestion de leurs systèmes informatiques, voire un manquement à leurs obligations en matière de traitement des données personnelles. Elles seront désormais contraintes de le faire puisque l’indemnisation de leurs dommages sera strictement soumise à ce dépôt de plainte.
Cette collecte d’informations devrait, à terme, pouvoir également bénéficier aux assureurs. Bien que la LOPMI ne prévoit pas de système de transmission des données acquises par les autorités judiciaires aux assureurs, le Rapport du Trésor envisage notamment la mise en place d’un partage d’informations anonymisées via l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), « afin d’affiner la connaissance de la menace cyber »[19]. On peut également espérer que les entreprises seront progressivement moins réticentes à partager avec leurs assureurs les informations relatives aux incidents qu’elles subissent. Enfin, les obligations de reporting précitées, qui incombent aux assureurs, pourront également contribuer à une meilleure circulation des données entre les différents acteurs.
Cet accès à l’information est primordial pour permettre aux assureurs de retracer l’activité de l’assurance cyber, évaluer les risques et pertes engendrés par les cyberattaques, accompagner leurs assurés dans la prévention de ces incidents et à terme proposer des garanties plus adaptées et plus attractives.
Enfin, la nouvelle disposition permet d’éviter une prohibition totale – comme cela a pu être discuté[20] – de l’assurance des cyber-rançons, qui aurait entraîné une « distorsion de concurrence disproportionnée » par rapport aux offres du marché international[21]. Une ambiguïté subsistait en effet sur le fait de savoir si le paiement des rançons était assurable juridiquement : certains assureurs l’avaient implicitement accepté en admettant la silent cover ou garantie silencieuse »[22] ; d’autres, comme Axa et Generali, ont préféré cesser de proposer des garanties couvrant les dommages liés à des rançongiciels[23].
-
Une disposition en lien direct avec le RGPD
La nouvelle disposition du code des assurances n’est pas sans rappeler les termes de l’article 33 du Règlement Général sur la Protection des Données (RGPD) qui fait obligation à tout responsable de traitement (i.e. l’assuré pour toutes les données personnelles qu’il traite pour son compte dans le cadre de ses activités) de notifier une violation de données personnelles à l’autorité de contrôle compétente (la CNIL en France) dans un délai de 72 heures sauf si la violation en question n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées[24]. De fait, l’article 4 (puis 5) du projet de loi a été maintes fois modifié pour aboutir finalement à sa mise en cohérence avec les dispositions du RGPD :
- La formulation « constatation de l’infraction » a été remplacée par « connaissance de cette atteinte par la victime » afin de préciser le fait que la victime elle-même doit avoir pris connaissance de l’atteinte[25], certaines cyberattaques pouvant rester non détectées pendant des mois ;
- Les délais de 24 heures (proposé par le Sénat) et 48 heures (proposé par l’Assemblée nationale en première lecture), jugés trop restrictifs, ont été portés à 72 heures afin d’accorder davantage de temps aux entreprises ou institutions concernées dans le dépôt d’une plainte à la suite de cyberattaques[26].
L’obligation de notification prévue à l’article 33 du RGPD constituait une première avancée en matière de collecte d’informations sur les cyberattaques, mais n’avait toutefois pas pour objet de mettre en place une base de données exhaustive[27]. Ainsi, on a pu constater que les informations rendues publiques dans le cadre des notifications effectuées auprès de la CNIL manquaient de détails et ne permettaient pas aux assureurs de perfectionner leurs polices d’assurance cyber[28]. Dès lors, les données collectées dans le cadre du dépôt de plainte imposé par la LOPMI permettront, faut-il espérer, de pallier cette lacune.
Rappelons également qu’en cas de cyberattaque, la violation de données personnelles peut entraîner un contrôle de la CNIL, pour manquement aux obligations de sécurité et de confidentialité imposées par le RGPD au responsable de traitement des données et à son sous-traitant.
Tout assuré désireux d’être indemnisé pour le préjudice subi du fait d’une cyber attaque devra donc désormais veiller à porter plainte dans un délai de 72 heures auprès des services de police. Cette exigence de réactivité nécessitera de la part des assurés, accompagnés de leurs assureurs, la mise en place de mesures, tant préventives que réactives, destinées à gérer ces situations de crise et à identifier rapidement l’origine et l’ampleur de la cyberattaque.
-
Vers un développement du marché français de l’assurance cyber ?
En 2021, le marché français de l’assurance cyber était estimé à 219 millions d’euros, soit 0,35 % du chiffre d’affaires des assurances de biens et de responsabilité[29], ce qui le place très loin derrière ses homologues anglosaxons : aux Etats-Unis, l’assurance du risque cyber est apparue dès le début des années 1990 et représentait en 2020 plus de 4 milliards de dollars de primes – soit près de la moitié du marché mondial[30]. Au Royaume-Uni, le système existe déjà depuis 2015 et serait aujourd’hui le modèle « le plus abouti pour ne pas dire le plus performant »[31].
Plusieurs lacunes peuvent être observées concernant le développement de l’assurance cyber dans l’Hexagone. En premier lieu, la garantie contre les cyberattaques est aujourd’hui encore principalement réservée aux grandes entreprises, du fait du coût trop élevé qu’elle représente pour les TPE et PME[32]. Pourtant, ce sont elles qui sont de plus en plus fréquemment la cible de menaces informatiques, les budgets alloués à la sécurité de leurs systèmes d’information étant souvent limités, en faisant ainsi des cibles privilégiées.
Les gains de prévisibilité espérés au travers de la LOPMI devraient toutefois permettre aux assureurs de mieux évaluer les risques et les pertes encourus en cas de cyberattaque, et ainsi de diminuer les montants de leurs franchises tout en augmentant les plafonds d’indemnisation[33], rendant le marché plus accessible aux entreprises modestes.
Par la suite, les assureurs pourront réadapter leurs polices, actuellement trop génériques, aux spécificités du risque cyber pour chaque profil d’entreprise. Celui-ci doit incontestablement être appréhendé différemment qu’il s’agisse d’une société du CAC 40 ou d’une PME[34]. La technicité des problématiques de cybersécurité requiert donc la mise en place d‘équipes d’experts au sein des compagnies d’assurance[35], qui seront peut-être incitées à se spécialiser dans certains types d’incidents cyber ou dans un secteur d’activité donné[36].
Les assureurs sont des partenaires indispensables aux entreprises en matière de prévention et de soutien face aux cyberattaques. Dans ce contexte, la LOPMI constitue une avancée timide mais plus que bienvenue pour les acteurs concernés.
Contribution d’Emmanuèle Lutfalla (associée), Mathilde Gérot (counsel)
et Myriam Benazza, stagiaire.
[1] E. Lutfalla, G. Defer, Les risques émergents : nouveaux défis pour l’assurance ? L’assurance en mouvement, 11 juillet 2022
[2] S. Akkouche, A. Piot, Interview de S. Abravanel-Jolly : La transformation de l’assurance face aux risques émergents, BJDA n° 84, 1 nov. 2022
[3] Analyse menée par un groupe de travail composé de services de l’Etat, de représentants des entreprises et des organismes d’assurance, ainsi que d’experts du monde académique.
[4] Rapport de la Direction générale du Trésor sur le développement de l’assurance du risque cyber, septembre 2022, p. 5
[5] E. Le Quellenec , Une loi pour mieux lutter contre la cybercriminalité, R. Lamy Droit de l’Immatériel, Nº 199, 1er janv. 2023
[6]Baromètre annuel de la cybersécurité des entreprises, enquête OpinionWay pour CESIN, 17 janv. 2022
[7] Selon l’ANSSI, l’attaque par rançongiciel consiste « en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement ».
[8] S. Fantuz, E. Lamouret, Loi LOPMI : les enjeux pour les acteurs de l’assurance, 4 janvier 2023, www.cybersecurite-solutions.com
[9] v. supra note 3
[10] N. Helenon, Garanties d’assurance cyber – Promulgation et entrée en vigueur du nouveau chapitre du Code des assurances sur les risques de cyberattaques, assurabilité des rançongiciels avec une obligation de dépôt de plainte sous 72h et nouvelles obligations de reporting et de comptabilité des assureur, neotech-assurances.fr, 31 janv. 2023
[11] v. supra note 5
[12] v. supra note 3, p. 28
[13] v. supra note 10
[14] Arrêté du 13 décembre 2022 relatif à la classification des engagements d’assurance consécutifs aux atteintes aux systèmes d’information et de communication, JORF n°0294 du 20 décembre 2022
[15] Directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l’accès aux activités de l’assurance et de la réassurance et leur exercice (solvabilité II) (refonte)
[16] P. Linais, O. Lyon Lynch, Assurances – LOPMI : un éclaircissement bienvenu sur la légalité de l’assurabilité des cyber-rançons, JCP G n° 01, 09 janvier 2023,
[17] Loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur, vie-publique.fr, 25 janv. 2023
[18] v. supra note 3, p. 28
[19] Ibid.
[20] v. supra, note 16 – Sénat, Rapp. n° 678, 10 juin 2021, relatif à la cybersécurité des entreprises ; AN, Rapp. La cyber-assurance, 13 oct. 2021 ; Comptes rendus de la délégation aux entreprises, séance au Sénat du 15 avril 2021 : ces rapports considèrent notamment que le paiement des rançons entretient un système frauduleux et ne garantit pas la récupération des données.
[21] Ibid. – « aucun pays de l’OCDE n’interdit le paiement des rançons ou leur couverture assurantielle »
[22] v. supra note 3, p.14 : la garantie silencieuse « renvoie au fait qu’un contrat d’assurance dommage aux biens (DAB) ou encore d’assurance responsabilité civile peut couvrir des dommages consécutifs à la réalisation d’un risque cyber alors même que cette couverture n’est pas expressément mentionnée dans le contrat ni prise en compte dans sa tarification »
[23] J. Cheminat, Cyber-assurance : le gouvernement entérine l’indemnisation des ransomwares, lemondeinformatique.fr, 7 sept. 2022
[24] « 1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. »
[25] Projet de loi d’orientation et de programmation du ministère de l’intérieur (n°436), amendement n° 1295 du 14 nov. 2022
[26] Ibid., amendement n° 178 du 8 nov. 2022
[27] E. Lutfalla, D. Azerraf, A. Decramer, Un panorama du risque cyber, ODA, 18 septembre 2021
[28] E. Lutfalla, M. Gérot, S. Fitzpatrick, GDPR and Cyber Risk Insurance: How Can Insurers Improve their Cyber Risk Products, Actuarial Post, April 2020
[29] v. supra note 3, p.12
[30] Ibid., p.11-12
[31] v. supra note 8
[32] Selon le baromètre LUCY de l’AMRAE, seules 9% des ETI et 0,2% de PME et TPE sont concernées, contre 84% des grandes entreprises. – M-C Carrère, Assurance cyber : les députés revoient les règles en cas d’attaques, l’Argus de l’assurance, 18 nov. 2022.
[33] Les montants des primes pour les garanties cyber sont aujourd’hui trois fois plus élevés que ceux des assurances responsabilité civile et six fois plus élevés que pour les assurances habitation – E. Lutfalla, D. Azerraf, A. Decramer, S. Fitzpatrick, How should insurers address cyber risks, Actuarial Post
[34] E. Lutfalla, D. Azerraf, A. Decramer, Un panorama du risque cyber, ODA, 18 septembre 2019 ; E. Lutfalla, Assurance et cybersécurité : pourquoi c’est encore flou pour les entreprises, Les Echos, 12 sep. 2019
[35] E. Lutfalla, D. Azerraf, A. Decramer, S. Fitzpatrick, How Should Insurers Address Cyber Risks – A French Perspective, Actuarial Post, Mai 2020
[36] E. Lutfalla, D. Azerraf, A. Decramer, L’anatomie du risque cyber : un enjeu de taille pour les assureurs, La Tribune de l’assurance, 5 novembre 2019