Le transfert de risques vers les assureurs présente plusieurs avantages, notamment pour garantir la responsabilité civile et les dommages subis. Il reste à prendre en compte la totalité des coûts et à porter une attention particulière aux exclusions.
Les avantages, pour une entreprise ou une collectivité publique, d’évoluer vers un transfert de ses risques sont multiples. Ils sont d’abord financiers : le provisionnement comptable ne peut couvrir la totalité des risques, tant en nature qu’en montant. À défaut de transfert des risques, et en cas de survenance de sinistre majeur, le bilan et le compte de résultat sont affectés. Ils sont ensuite liés à la gestion des risques : le transfert des risques au marché de l’assurance suppose la valorisation des risques et des incidents, et crée un dialogue avec les entités opérationnelles.
Les avantages sont enfin opérationnels : l’assurance fournit aux directions métiers des outils d’aide à la décision, en valorisant les risques et le coût de leur couverture. Mais ce transfert repose sur un certain nombre de règles, avec une acuité particulière lorsque ces risques sont nouveaux et méconnus (c’est le cas des cyberrisques) et que leur quantification est complexe.
Rappelons que plusieurs principes conditionnent la possibilité d’assurer un risque. D’abord, l’assurance d’un risque, quel qu’il soit, suppose que sa survenance respecte un caractère aléatoire. Il faut également qu’un fait survienne et tous les risques ne sont pas assurables. Ainsi, la possibilité d’assurer un risque dépend avant tout de la capacité des acteurs à identifier les périls encourus pour les transcrire en objets d’assurance dans un cadre contractuel. Il faut également qu’il y ait une conséquence : toute opération d’assurance a pour objet l’indemnisation d’un préjudice.
Cela nécessite donc pour l’assureur de pouvoir quantifier les conséquences financières des risques encourus et, en cas de survenance, d’établir le juste préjudice subi en application du principe indemnitaire. Il faut enfin une cause, car on doit pouvoir identifier le lien de causalité entre le préjudice et le fait générateur. En d’autres termes, l’assurance repose sur le principe de mutualité : il est dans l’intérêt individuel de répartir contractuellement sur plusieurs le risque individuellement imprévisible pour chacun, et ainsi de le diminuer a priori.
Ainsi, une mutualisation de risques sera d’autant plus efficace et appropriée qu’elle s’appuiera sur des tables statistiques (assurance-vie, maladie…) issue de l’expérience passée. Mais, pour des risques ou familles de risques plus récents, et a fortiori s’ils sont peu fréquents, l’absence d’éléments statistiques rend difficile, pour ne pas dire impossible, la détermination a priori des règles d’équilibre technique, économique, social ou financier : un risque non mutualisable est difficilement assurable.
À propos des cyberrisques, plusieurs points doivent être soulignés :
- En l’absence de référentiel statistique sur des risques nouveaux, l’assureur va d’abord collecter une prime déterminée à partir de la notion de risque « perçu », notion aggravante par rapport au risque « encouru ». Le financement d’un risque mal connu est toujours plus coûteux.
- La capacité indemnitaire susceptible d’être proposée par un assureur augmentera progressivement au rythme des souscriptions et de l’acquisition d’expérience dans la branche. Elle sera au départ d’un montant très inférieur au besoin réel de couverture et sans rapport avec le risque de pointe.
- Une compagnie d’assurances a pour mission principale de financer le risque. Elle procède rarement à de la veille économique ou technologique et fait peu de recherche et développement en matière de nouveaux gisements de marchés. Toute demande de financement d’un risque nouveau doit s’appuyer sur un dossier d’analyse parfaitement étayé (compréhension de l’activité, de la prévention, de la protection, des enjeux financiers…) pour ne pas se voir opposé un refus « d’intérêt » de l’assureur par crainte de trop exposer ses fonds propres.
- Les outils d’analyses de risques connus développés par les assureurs sont basés sur des questionnaires standardisés, utilisés, d’une part, pour identifier et comprendre les enjeux financiers et, d’autre part, pour déterminer une prime à partir de grilles de cotation généralement issues de l’expérience passée et du coût de la réassurance. Ces outils d’analyse ne sont généralement pas adaptés pour étudier les nouvelles problématiques de risques, notamment celles liées aux risques immatériels informatiques.
L’analyse des offres d’assurance en matière de protection de l’identité numérique montre que, pour l’essentiel, les indemnisations couvrent les préjudices financiers subis directement (un crédit frauduleux, une contravention frauduleuse, un abonnement téléphonique à votre nom, les frais de reconstitution de documents d’identité) et les préjudices financiers subis indirectement (frais de communication, de transport, de courriers, frais bancaires) et ce dans une limite, selon les contrats, compris entre 7 500 et 10 000 euros par an et par personne.
Quelle stratégie d’assurance ?
L’assurance des sinistres « atteinte aux données » (Data Breach) passe par un ensemble de garanties qui peuvent être agrégées pour couvrir l’ensemble des enjeux, qu’il s’agisse d’assurance de dommages ou de responsabilité, d’assurance souscrite par l’utilisateur final ou pour son compte par l’entreprise assurée en cas de sinistre, incluant des préjudices directs ou indirects. L’entreprise peut également décider de conserver une partie des risques à sa charge, soit en termes de « stop loss » (l’assurance intervient au-delà d’un seuil fixé par sinistre unitaire) soit en termes de « excess loss » (l’assurance intervient au-delà d’un seuil de cumul d’évènements répétés dans une période définie, en règle générale annuelle).
Quel que soit le recours possible à l’encontre des opérateurs auxquels l’entreprise aura délégué le traitement des données, elle sera toujours, vis-à-vis du consommateur final, l’interlocuteur direct auquel il se sera adressé pour obtenir un bien ou un service et en aura acquitté le prix au moyen de sa carte bancaire. L’entreprise aura donc intérêt à couvrir sa responsabilité civile à cet égard, avec recours possible par l’assureur à l’encontre de l’opérateur responsable, pour autant que ce recours ne soit empêché ou limité par une renonciation ou une limitation à recours.
Quelles garanties d’assurance de responsabilité civile ?
Les garanties concernant la responsabilité civile portent sur les faits liés à une atteinte aux données, une intrusion réseau, ou un préjudice médiatique découlant des activités assurées. Les dommages concernent ceux qui sont supportés par l’entreprise dans le cadre des activités assurées suite à une extorsion, les frais de sauvegarde en cas d’atteinte aux données ou d’intrusion réseau, les frais de préservation d’image en cas d’atteinte à la vie privée, d’intrusion réseau, d’atteinte aux données ou d’atteinte médiatique, les pertes d’exploitation découlant d’une intrusion réseau et les frais consécutifs à une atteinte aux données ou à une intrusion réseau.
Les exclusions : un point d’attention
Ce type de garantie vise à préserver l’entreprise assurée au regard des réclamations des tiers lésés dirigées contre elle et prend en charge un certain nombre de frais directement subis. Les capacités du marché de l’assurance permettent de souscrire des capitaux garantis à hauteur de quinze millions d’euros (garantie directe, sans montage multiligne).
Néanmoins, il faut se pencher sur les exclusions prévues au contrat pour identifier les évènements non garantis et les pertes non indemnisables qui resteraient à la charge de l’entreprise. Les principales exclusions sont les suivantes :
- le défaut d’installation des mises à jour ou des dernières versions disponibles de logiciels ou de kits de sécurité associés aux logiciels sur les systèmes informatiques détenus ou contrôlés par l’entreprise assurée ou dont elle est responsable ;
- les réclamations ayant pour origine directe ou indirecte toute lacune en matière de sécurité connue de l’entreprise assurée ou dont elle aurait dû être consciente avant la date de survenance du sinistre ;
- les réclamations et les frais de défense ayant pour origine une atteinte à la vie privée, lorsque l’action ou l’omission constitutive de la faute présente un caractère systématique ou si l’entreprise assurée n’a pas appliqué une politique de protection de la vie privée dont l’application aurait empêché la commission de la faute ;
- les réclamations et les frais de défense ayant pour origine un dommage corporel réel ou allégué, sauf cas de préjudice médiatique, ceux fondés sur une contrefaçon réelle ou alléguée d’un brevet ou ceux fondés sur l’appropriation fautive d’un secret industriel ou d’informations commerciales confidentielle autres que des données confidentielles ;
- les sommes dues par l’entreprise assurée au titre de pénalités contractuelles.
Assurances de dommages : quelle couverture ?
L’exclusion dans la police de responsabilité civile de l’indemnisation des sommes dues par l’assuré au titre de pénalités contractuelles pose la question du sort des pénalités PCI DSS (Payment Card Industry Data Security Standard), standard qui s’applique à tout acteur qui stocke, traite ou transmet des données de cartes bancaires. L’exclusion de l’indemnisation des sommes dues au titre des pénalités PCI DSS est logique au sein d’un programme d’assurance de responsabilité civile qui vise à indemniser les titulaires des informations personnelles et bancaires qui ont fait l’objet d’une atteinte ou d’une compromission, et des conséquences directes et indirectes qui sont attachées aux préjudices subis par ces titulaires. Les pénalités PCI DSS seraient fondées sur la relation contractuelle passée entre le client et son établissement bancaire.
La possibilité de prise en charge de ces pénalités passe actuellement par leur intégration au sein d’un contrat d’assurances de dommages qui couvre l’ensemble des sommes engagées par l’entreprise pour faire face à trois situations :
- une atteinte à l’intégrité ou à la disponibilité des données (frais de reconstitution de données, frais supplémentaires d’exploitation, pertes d’exploitation, perte d’activités bancaires, frais de décontamination virale informatique, frais de sauvegardes, frais de secours informatiques, coûts d’utilisation non autorisée du système d’information, dépenses de relations publiques, honoraires d’experts, pénalités contractuelles (PCI DSS), frais de recours) ;
- une atteinte à la confidentialité des données (coûts d’investigations et d’enquêtes dans le cadre d’une atteinte à la protection des données personnelles, coûts de notification des tiers) ;
- une procédure réglementaire relative à la protection des données personnelles (coûts d’investigations et d’enquêtes, frais de défense, sanctions réglementaires).
Assurer aussi les notifications de failles de sécurité
Reste la question de l’évaluation et le financement des frais de notification des failles de sécurité aux clients, ainsi que leur indemnisation. Le Ponemon Institute, qui réalise des études de référence annuelles sur le coût des incidents de violation de données des entreprises américaines, estime qu’une violation de sécurité de données aux États-Unis coûte aujourd’hui (étude janvier 2012) environ 214 dollars par dossier unitaire concerné ou 7,2 millions de dollars en moyenne par incident, pour lesquels les frais de notification représentent environ 7 % du coût total. Le Ponemon Institute, en liaison avec Symantec, a développé un outil de calcul comparatif (https://databreachcalculator.com/Defaut.aspx) et publie des études annuelles sur l’évolution des coûts associés.
L’augmentation notable de la vitesse de réaction pour notifier rapidement les violations, malgré les coûts supplémentaires, reflète le poids croissant du risque d’image et de perte de confiance du public, renforcé par des obligations légales impératives : l’ordonnance du 24 août 2011 qui a transposé les directives européennes dit « Paquet Télécom » en créant un nouvel article 34 bis à la loi informatique et libertés prévoit de « notifier, sans délai ».
Les dispositions du projet de règlement européen du 25 janvier 2012 relatives à la sécurité des données et plus particulièrement à la gestion de la notification des failles de sécurité prévoient à l’article 31-1 : « En cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l’autorité de contrôle sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsqu’elle a lieu après ce délai de 24 heures, la notification comporte une justification. »
Nous proposons de retenir une évaluation moyenne de 200 euros par incident, dont un coût de notification de 15 euros. Reste à évaluer le sinistre maximum possible de compromission de données possibles par un seul fait générateur. On comprend néanmoins que l’obligation de réaction rapide à l’incident impose la mise en place d’une organisation de gestion de crise interne ou de faire appel à une organisation externe apte à assumer cette gestion. Au-delà de l’obligation de notification, il est de l’intérêt de l’entreprise de mettre en place un ensemble de services au bénéfice de ses clients pour les accompagner pendant la crise…
Estimer les coûts potentiels d’une atteinte aux données
Les entreprises qui ont subi des attaques massives sont relativement discrètes sur le montant exact des pertes subies, a fortiori sur leur « assurabilité ». Prenons l’exemple de Sony. D’après le groupe japonais, le piratage de Playstation Network, SOE (Sony Online Entertainment) et Qriocity lui aurait coûté 122 millions d’euros, assurances incluses. C’est ce qu’a révélé la firme nippone sur ses comptes d’exploitation de son exercice 2011-2012 (Source : Technologik.fr). Les services en ligne de Sony sont restés inaccessibles durant quelques semaines, après le piratage de près de 100 millions de fichiers clients (24,6 millions pour SOE et 77 millions pour PlayStation Network), et 23 400 informations financières, dont 10 700 relevés de prélèvements bancaires automatiques auraient été infiltrées selon la firme.
Mais le coût global devrait être supérieur. Dans ce type de situation, notre expertise nous amène à une estimation qui prendrait en compte :
- les coûts liés à l’expertise post-sinistre, forcément spécialisée ;
- les frais de remise en état des bases de données potentiellement détériorées par l’intrusion, y compris les dommages « collatéraux » dans le SI, et les heures supplémentaires et autres coûts humains des personnels pour accélérer la reprise, y compris la main-d’œuvre externe et les coûts de sécurisation et de re-certification des systèmes et des réseaux ;
- les coûts de réémission des cartes bancaires et les pénalités PCI DSS imposés par Visa et Mastercard, ainsi que les éventuelles amendes issues de la réglementation (par exemple pénalités prévues par des lois de type Cnil en France) ;
- l’éventuel manque à gagner pendant l’arrêt des plates-formes de jeu (la perte d’exploitation des deux semaines d’arrêt) et, une fois l’incident réglé, les dépenses engagées pour redorer son image de marque : plan de communication média, voire contribution financière pour indemniser les joueurs frustrés (du type un mois d’abonnement offert, appelé par Sony « Welcome Back »), la perte d’image et l’impact sur le cours de Bourse ;
- les coûts de notification de l’incident aux clients, cela dans le cadre d’une approche « Privacy Breach » (les États-Unis sont plus exigeants que la France dans ce genre d’affaire. Ils imposent aux entreprises victimes qu’elles informent individuellement chaque personne dont les données personnelles ont été interceptées) ;
- enfin, Sony a proposé la prise en charge financière d’une couverture d’assurance contre l’usurpation d’identité pour chacun de ses joueurs en ligne, à concurrence de un million de dollars aux État-Unis, et de 100 000 euros en France pendant une année.
Cet article a été écrit par Jean-Laurent Santoni, docteur en droit, directeur du développement de Gras Savoye Risk Consulting. Cofondateur du Clusif (Club de la sécurité de l’information français), il a également été expert auprès du Cigref de 1996 à 1999. Il est membre du conseil d’administration de l’Association française du droit de l’informatique et de la télécommunication (AFDIT) et de la Fedisa (Fédération de l’ILM, du stockage et de l’archivage). Il est enseignant dans des grandes écoles (Mines Paris, Centrale Santé) et auteur de divers ouvrages techniques sur les risques.