L’assurance peut-elle, doit-elle, couvrir les risques résultant des atteintes à un système de traitement automatisé des données ?
Devant l’accroissement de la délinquance numérique, la cyber-sécurité et la question de l’assurance des cyber-risques sont au cœur des préoccupations récentes des assureurs, comme du pouvoir législatif.
Les délinquants n’étant jamais à court d’imagination, le développement de l’économie numérique (favorisé, notamment, par les périodes de confinement qui ont vu s’accroitre le « télétravail », la « télémédecine », le commerce à distance, les paiements « sans contact », etc.), a provoqué l’apparition de nouvelles formes de fraudes et d’infractions qu’il est difficile de prévenir, plus encore, peut-être, de réprimer, l’identification et l’appréhension de leurs auteurs relevant de la gageure.
L’apparition de cette « cyber-criminalité » ne peut laisser le secteur de l’assurance indifférent, ne serait-ce que parce qu’il peut être appelé à garantir les conséquences qui en découlent pour ses assurés. Pour la 6ème année consécutive, « les cyber-risques » occupent la première place des risques émergents (et préoccupants) dans « la cartographie prospective 2023 » établie par France Assureurs (https://www.franceassureurs.fr/nos-positions/lassurance-qui-protege/cartographie-prospective-2023-des-risques-de-la-profession-de-lassurance-et-de-la-reassurance/).
Le pouvoir législatif et réglementaire vient d’adopter de nouvelles dispositions qui visent à clarifier et – au-delà – à encourager l’intervention des assureurs dans ce domaine. Ce qui donne l’occasion de faire un point sur la prise en charge de ces risques aux multiples visages (I) par l’assurance (II).
1- Identification des cyber-risques
A ) Principales cyber-attaques
L’expression cyber-criminalité désigne l’ensemble des faits, constitutifs d’infractions pénales, commis à l’encontre et/ou au moyen d’un système d’information et de communication et des données qu’il recèle. La cyber-attaque porte atteinte au système d’information de la victime (généralement une entreprise) en compromettant la disponibilité, l’intégrité ou la confidentialité d’une part des données stockées, traitées ou transmises par ledit système, d’autre part des services connexes que le système offre ou qu’il rend accessible.
Parmi les cyber-attaques les mieux connues, citons :
– Le rançongiciel (ou ransomware). Il s’agit d’un logiciel malveillant qui bloque l’accès à l’ordinateur ou à des fichiers en les chiffrant et qui réclame à la victime un paiement, généralement en cryptomonnaie (la « rançon »), en échange de la clé de déchiffrement censée rendre les données à nouveau accessibles et utilisables. Le système peut être infecté après l’ouverture d’une pièce jointe, ou après avoir cliqué sur un lien malveillant reçu dans des courriels, ou parfois simplement en naviguant sur des sites compromis (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares#definition-ransomware).
– L’attaque en déni de service (ou DDoS : Distributed Denial of Service). Elle vise à rendre inaccessible un serveur par l’envoi de multiples requêtes jusqu’à le saturer ou par l’exploitation d’une faille de sécurité afin de provoquer une panne ou un fonctionnement fortement dégradé du service. Durant l’attaque, le site ou service n’est plus utilisable, au moins temporairement, ou difficilement (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/attaque-en-deni-de-service-ddos#definition-DDoS).
– Le cryptojacking. Il a pour objet d’utiliser, à l’insu du détenteur de l’appareil ciblé, la puissance de calcul ou la bande passante d’un ordinateur, d’un smartphone, d’une tablette ou d’un périphérique, en vue de permettre au hacker de réaliser le « minage » de cryptomonnaie. Le « minage » est une opération consistant (selon une définition simplifiée) à résoudre un problème mathématique complexe (à l’aide de la puissance de calcul d’ordinateurs), afin d’effectuer la validation (indispensable) d’une transaction utilisant une cryptomonnaie comme moyen de paiement. Le minage étant rémunéré, la concurrence fait rage entre les « mineurs », d’où la tentation de certains d’entre eux de recourir au cryptojacking, afin de disposer (frauduleusement et gratuitement) de la puissance de calcul des ordinateurs hackés et surpasser ainsi leurs concurrents (https://fr.malwarebytes.com/cryptojacking/).
– Le hameçonnage (ou phishing). Il s’agit d’une fraude destinée à tromper la victime pour l’inciter à communiquer des données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance. Le hameçonnage est réalisé au moyen d’un faux message, SMS ou appel téléphonique de banque, de réseau social, d’opérateur de téléphonie, de fournisseur d’énergie, de site de commerce en ligne, d’administrations, etc. Il a pour but de voler des informations personnelles ou professionnelles (comptes, mots de passe, données bancaires…) pour en faire un usage frauduleux (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/hameconnage-phishing).
– Le logiciel espion. Il s’agit d’un virus (programme informatique malveillant) qui vise à dérober aussi discrètement que possible des informations stratégiques et confidentielles d’entreprises ; le virus peut s’infiltrer dans un système informatique par l’ouverture d’un message (mail, MMS, chat), d’une pièce jointe ou d’un clic sur un lien frauduleux, par exemple. Il peut aussi s’introduire en naviguant sur un site malveillant, en s’installant dans un appareil ou un logiciel non mis à jour, par l’absence d’utilisation d’un antivirus, l’installation d’une application piratée, etc.
Remarque : L’auteur d’une cyber-attaque encourt, selon le cas, les peines d’amende et/ou de prison prévues par les articles 323-1 à 323-3-1 du Code pénal. Le premier de ces textes (dont les sanctions ont été alourdies par la loi n° 2023-22 du 24 janvier 2023, entrée en vigueur le 26 janvier dernier) réprime ainsi le simple fait d’accéder frauduleusement à un système informatique. Le texte énonce en effet que « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement (anciennement 2 ans) et de 100 000 € d’amende (anciennement 60 000 €). Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de cinq ans d’emprisonnement (anciennement 3 ans) et de 150 000 € d’amende (anciennement 100 000 €). Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement (anciennement 5 ans) et à 300 000 € d’amende (anciennement 150 000 €) ». L’article 323-2 du Code pénal permet, quant à lui, d’appréhender les auteurs de rançongiciels et d’attaques en déni de service, en ce qu’il prévoit que « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 150 000 € d’amende. Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 300 000 € d’amende ». Enfin, l’article 323-3 du même Code permet de sanctionner les comportements malveillants consistants à pervertir ou voler des données, puisqu’il stipule que « le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende. Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 300 000 € d’amende ».
B) Dommages engendrés par les cyber-attaques
Les dommages susceptibles de résulter d’une cyber-attaque sont variés. L’on songe d’abord aux préjudices économiques et moraux dont on ne peut donner que quelques exemples :
– endommagement des matériels informatiques et pertes de données ;
– perte pécuniaires (en cas, par exemple d’utilisation frauduleuse des données bancaires ou de paiement de la rançon réclamée par les auteurs de l’infraction) ;
– pertes d’exploitation (dans l’attente du déblocage du site paralysé par les auteurs du rançongiciel ou de l’attaque en déni de service ou dans l’attente de la restauration des fichiers endommagés par le virus) ;
– atteinte à l’honneur, à la réputation, à l’image (la fiabilité du système de protection des données de l’entreprise cible étant désormais douteuse dans l’esprit du public, des clients, des partenaires et des actionnaires de l’entreprise victime) ;
– atteinte à la vie privée (en cas, par exemple, de diffusion de données médicales frauduleusement obtenues) ;
Une atteinte à l’intégrité physique ne peut non plus être exclue. En 2019, le Département de Sécurité intérieure des Etats-Unis (cité par B. Spitz, in « Le droit pénal à l’épreuve des cyberattaques », Rapport Club des juristes avril 2021) alertait ainsi sur la vulnérabilité du système de communication radio de certains défibrillateurs cardiaques ; vulnérabilité qui, si elle était exploitée par des individus malintentionnés, pourrait causer le décès du patient. De même, au cours de l’année 2022, des hôpitaux français ont été la cible de rançongiciels, lesquels ont bloqués pendant plusieurs heures, voire plusieurs jours, l’accès aux systèmes informatiques internes et aux données médicales des personnes hospitalisées, retardant par là-même la prise en charge de ces dernières.
Il convient également de souligner qu’une cyber-attaque peut avoir pour effet collatéral de mettre au jour une faille dans le système de protection des données personnelles de l’entreprise victime et révéler une violation par ladite entreprise des dispositions du Règlement général de protection des données (RGPD entré en vigueur le 25 mai 2018). L’article 32 de ce règlement européen enjoint en effet aux entreprises qui collectent des données à caractère personnel de mettre en œuvre « des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ». L’entreprise victime de la cyber-attaque que la défaillance de son système sécurisation des données a facilitée s’expose, le cas échéant, à des sanctions administratives prononcées par la CNIL (Commission nationale Informatique et Liberté) et, notamment, à une peine d’amende (administrative), laquelle peut atteindre 4 % du chiffre d’affaires annuel mondial de l’entreprise contrevenante.
Parce qu’elles sont la source de nombreux dommages, les cyber-attaques peuvent obérer l’avenir de l’entreprise victime. Dès lors, il est naturel de songer à reporter le poids de ce risque sur les épaules d’un assureur.
2 – Prise en charge des cyber-risques par l’assurance
Le phénomène de la cybercriminalité, sans être nouveau, n’a pris une ampleur préoccupante que relativement récemment. C’est ce qui explique que la plupart des polices d’assurance en cours soient muettes sur la question de la couverture des cyber-risques, sans que cela n’exclut nécessairement leur prise en charge par l’assureur (A). Quant aux contrats – plus récents – qui offrent explicitement la garantie de ce type de risques, s’est posée la question de leur licéité, question résolue par la loi du 24 janvier 2023 (B).
A) Prise en charge des cyber-risques par les contrats existants : le problème de la « garantie silencieuse »
Les contrats en cours, nous l’avons dit, sont, pour la plupart, muets sur la question de la couverture des cyber-risques. L’on ne saurait pour autant en déduire que la garantie de l’assureur est nécessairement écartée au cas de réalisation de ce type de risque. Une garantie qui n’est pas expressément accordée, mais qui n’est pas non plus explicitement exclue peut en effet être appelée à jouer. On parle alors de « couverture ou de garantie silencieuse ». La prise en charge du sinistre va dépendre des termes de la police. Ainsi, par exemple, le contrat qui couvre les pertes d’exploitation, sans subordonner la mise œuvre de la garantie à l’existence d’un dommage matériel interdisant la poursuite de l’exploitation pourra être sollicité lorsque l’entreprise assurée est dans l’incapacité de commercialiser ses produits à cause d’une attaque en déni de service. Il en ira de même lorsque l’assureur a accordé une couverture « tous risques sauf… » et qu’il n’a pas songé à exclure explicitement le risque cyber.
Remarque : L’Autorité de contrôle prudentiel et de résolution (ACPR) a récemment alerté les compagnies sur le risque que ces garanties « silencieuses » font peser sur la solvabilité des entreprises d’assurance. En effet, la couverture de ces cyber-risques n’a généralement fait l’objet d’aucune contrepartie, l’assureur n’ayant évidemment pas songé à réclamer paiement d’une prime pour la garantie d’un risque dont il ignorait l’existence à l’époque de la souscription de la police. L’ACPR incite en conséquence les organismes d’assurance à examiner l’ensemble des garanties contenues dans leurs contrats par rapport aux risques cyber et, le cas échéant, à clarifier et à rendre plus explicites les formulations des termes et conditions des polices en ce qui concerne la couverture ou l’exclusion de ces risques. L’ACPR constate en effet que les organismes d’assurance européens ne mesurent pas encore suffisamment leur exposition au risque de couverture implicite du risque cyber, et ce dans un contexte où ce risque se révèle particulièrement élevé. Le manque apparent de préparation de certains organismes pourrait entraîner des pertes importantes et compromettre la stabilité financière globale du secteur (ACPR, communiqué de presse, 23 sept. 2022).
Si une clarification de l’étendue des garanties fournies par les contrats muets sur la question des cyber-risques est attendue pour l’avenir, une clarification du contenu – légalement admissible – des polices couvrant explicitement ce type de risque vient, en revanche, d’être apportée par une loi du 24 janvier 2023.
B) Prise en charge explicite des cyber-risques par des garanties spécifiques
La pratique consistant à assurer les cyber-risques a été récemment officialisée par un arrêté du 13 décembre 2022, « relatif à la classification des engagements d’assurance consécutifs aux atteintes aux systèmes d’information et de communication » (JO 20 déc.). Ce texte a en effet ajouté deux catégories à la liste des opérations que les entreprises d’assurance sont habilitées à pratiquer. L’article A. 344-2 du Code des assurances se trouve de la sorte enrichi d’un alinéa 32 permettant la garantie des « dommages aux biens consécutifs aux atteintes aux systèmes d’information et de communication » et d’un alinéa 33 autorisant la couverture des « pertes pécuniaires consécutives aux atteintes aux systèmes d’information et de communication ».
Demeurait cependant douteuse la légalité de certaines garanties et, particulièrement, de la garantie des rançons. Des parlementaires ont soutenu que l’engagement de l’assureur à prendre en charge la somme réclamée par les cyber-délinquants pour débloquer les systèmes numériques de la victime comportait le risque d’encourager la cyber-criminalité. En incitant la victime à payer la rançon, l’assurance était en effet accusée d’en favoriser la demande et d’alimenter un écosystème criminel (S. Meurant et R. Cardon, Rapport relatif à la cyber-sécurité des entreprises : Rapp. Sénat n° 678, 2021, prop. n° 12, retenant que « l’assurabilité tant des rançongiciels que des sanctions administratives en cas de violation de la réglementation sur la protection des données à caractère personnel, doit être interdite, à la fois au niveau européen et national ». – V. V. Faure-Muntian, La cyber – assurance : AN 13 oct. 2021, prop. 3-4).
La loi n° 2023-22 du 24 janvier 2023 (art. 5), qui entrera en vigueur le 24 avril prochain, devrait clore le débat. Elle a en effet inséré dans le Code des assurances un article L. 12-10-1 (il faut lire, sans doute, L. 121-10-1) lequel énonce que « le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime. Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle » (V. C. Béguin-Faynel, « 2023 : entrée du cyber – risque dans le Code des assurances », Resp. civ. et assur. mars 2023, Etude 5).
Le texte ne comportant aucune réserve afférente à la nature « des pertes et dommages » causés par les cyber-délinquants, il valide implicitement, mais sûrement, l’assurance des rançons. Il faut relever toutefois que, dans un louable souci de lutter contre la cyber-criminalité, ce qui suppose que les autorités de police et de justice soient informées systématiquement et le plus rapidement possible de la commission des infractions, la mise en œuvre des garanties d’assurance est expressément subordonnée à un dépôt de plainte dans les 72 heures suivant la découverte du délit par la victime.
Maud Asselain
https://fr.malwarebytes.com/cryptojacking/
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/hameconnage-phishing