La cyberassurance ne vaincra pas seule une éventuelle pandémie numérique

Après le chaos provoqué par la crise sanitaire de la Covid-19, les entreprises pourraient bien se retrouver face à une nouvelle pandémie d’une toute autre nature : une pandémie numérique. Il faut en effet comprendre que la mise en place généralisée du télétravail dans l’urgence et la mise de côté du risque cyber ont rendu les entreprises plus vulnérables que jamais aux cyberattaques. Les professionnels de l’assurance tirent donc la sonnette d’alarme : il y a urgence à se mettre en conformité avec les niveaux de sécurité cyber exigés car si le risque numérique devenait plus que résiduel, les cyberassurances ne pourraient pas répondre à la demande de dédommagement.

Des risques accrus

La crise a vu les cyberattaques se multiplier : d’abord à cause de la fragilisation des systèmes informatiques du fait de la mise en place du télétravail en urgence, de la multiplication des outils de visioconférence, de l’utilisation de réseaux non sécurisés et ensuite du fait du climat anxiogène qui a engendré la collecte excessive de données, l’implantation de malwares intégrés aux outils de suivi de la pandémie etc…

Il faut aussi comprendre que la Covid-19 est un leurre à phishing : elle a permis encore plus facilement de dérober aux usagers leurs mots de passe. Les établissements de santé, insuffisamment protégés contre ces attaques, ont ainsi été les cibles privilégiées des hackers.

Une mise en conformité urgente

La pandémie actuelle doit faire prendre conscience aux entreprises assurées qu’elles doivent se mettre en conformité et anticiper les futures cyberattaques car les leçons à tirer et les implications en termes de cyberrisques et de cyberassurances ne se limitent pas uniquement à une augmentation des risques.

Il faut d’abord rappeler que l’indemnisation des pertes d’exploitation est soumise aux stipulations contractuelles de la police d’assurance qui sont en lien avec les niveaux de sécurité et de conformité de l’assuré. Le défaut de mise en conformité et la faiblesse de la sécurité des systèmes informatiques pourraient donc empêcher l’indemnisation de leurs préjudices.

De plus, les recommandations et avis émis par la Cnil, dans le cadre de la crise sanitaire, a permis de poser les bases de la protection concernant la collecte de données, le cadre légal des SMS adressés aux Français par le gouvernement, la mise en place du télétravail et les outils de visioconférence. Il faut s’inquiéter de la multiplication de ces conseils car ils sont révélateurs des lacunes des acteurs du marché sur ces sujets et des failles de sécurité qui en résultent.

Il y a donc urgence à réagir à la fois pour éviter toute poursuite de la Cnil, dont les sanctions sont de plus en plus sévères, et pour se prémunir contre le cyberrisque car face au risque numérique systémique, la prévention et la conformité restent les meilleurs atouts.

Le danger : passer d’un risque résiduel à un risque systémique

Ce qu’on peut craindre c’est que les assureurs porteurs de garanties cyber ne puissent couvrir des sinistres si nombreux et importants sans avoir pu les anticiper. Car l’une des garanties fondamentales des polices cyber est la prise en charge des pertes d’exploitation à la suite d’une cyber-attaque. Or, en l’état actuel, la majorité des assureurs refuse de prendre en charge les pertes d’exploitations liées à la crise sanitaire en soutenant que ce risque ne serait pas couvert par les polices souscrites. Les assureurs expliquent que le défaut d’aléa, dans le cas d’une pandémie systémique et globale, empêche toute mutualisation puisque tous les assurés sont affectés en même temps.

Si les polices cyber ne semblent pas encore avoir intégré les conséquences de la pandémie, cette absence de prise en compte d’une sinistralité colossale et systémique est inquiétante. Car les garanties cyber, prévoient que les pertes d’exploitation résultant d’une cyberattaque sont prises en charge mais sur le plan économique, aucun assureur ne pourra anticiper une telle sinistralité. Et la réponse des assureurs ne pourra être la même car les pertes d’exploitation résultant d’une cyberattaque ne sont pas la conséquence immédiate de la pandémie, donc l’argument tenant à l’absence d’aléa ou de mutualisation ne pourrait s’appliquer…