En février 2021, la Fédération Française de l’Assurance publiait son 4e baromètre des risques [1]. Pour la quatrième année consécutive, le risque de cyberattaques létales demeure le risque principal pour les sociétés d’assurance et de réassurance. La gestion du risque numérique doit donc devenir une préoccupation de premier ordre [2]. Dans ce cadre, faut-il souscrire un contrat d’assurance spécifique ? Quels sont les risques couverts par le contrat d’assurance cyber ? Quels sont les prérequis demandés par l’assureur ? Autant de questions auxquelles nous allons tenter de répondre pour vous aider à faire le point sur votre couverture en la matière.

Article initialement paru dans le Journal du Village de la Justice n° 92.

1. Faut-il souscrire un contrat spécifique au risque cyber ?

Les menaces et les risques en matière de cybersécurité sont réels et diversifiés (piratage, surveillance et intrusion, virus informatique, vol ou destruction de données, blocage des sites internet, etc.). Et les cabinets d’avocat n’y échappent pas ; ils semblent même devenir une cible privilégiée [3].

Or les conséquences d’un incident de cybersécurité sont presque immanquablement dommageables, voire hautement préjudiciables. Elles se réalisent aux dépens du praticien lui-même, en termes financiers, de capacités opérationnelles et de réputation notamment ; elles se produisent aussi au détriment de ses clients.

Les avocats sont pourtant, dans leur grande majorité, conscients du risque cyber auquel ils sont exposés, bien que les mesures pour pallier cette vulnérabilité ne soient pas, le plus souvent, suffisamment mises en place. Au-delà des mesures de protection adéquates (mesures techniques, sensibilisation, etc.), les moyens dont dispose l’avocat pour se protéger contre des poursuites pour manquement ses obligations professionnelles ou, plus largement à la sécurisation insuffisante des données et informations confiées ou créées par le cabinet, résident sans surprise dans le transfert des risques. Ce dernier peut se faire selon deux axes : l’externalisation informatique et le système assurantiel.

Certains des risques cyber sont déjà inclus dans le contrat d’assurance responsabilité civile professionnelle (RCP), principalement sous les aspects de la violation de données à caractère personnel et de l’inexécution contractuelle liée à une indisponibilité des données ou des systèmes d’information. Il est donc tout à fait possible que le risque numérique soit déjà couvert, au moins partiellement, explicitement ou non. Ces « garanties implicites » [4] permettent une « couverture silencieuse » [5], risquée pour les assureurs, mais qui ne sont pas exemptes de potentielles et complexes difficultés d’interprétation.

Mais la tendance est davantage à une exclusion du risque cyber, au profit de contrats plus spécifiques et la majorité des contrats RCP ne couvrent pas les tous les incidents ayant pour origine un incident cyber, y compris s’il s’agit de contrat « tous risques informatiques (ou numériques) ». La fraude informatique, le piratage ou l’erreur humaine non intentionnelle font, dans l’immense majorité, l’objet d’exclusions contractuelles. En outre, en cas d’incident cyber au sein du cabinet, si certaines peuvent prendre en charge les conséquences pour les clients, elles ne couvrent pas toujours les conséquences subies par la structure elle-même [6]. La souscription d’un contrat dédié peut donc s’avérer nécessaire.

Dans ce cadre, la première étape est de faire un état des lieux et d’auditer les contrats d’assurance déjà souscrits par le cabinet. Il pourra également être utile de s’informer auprès de l’Ordre pour savoir si une couverture collective a été souscrite en faveur des praticiens inscrits au Barreau. Ce n’est que si le cabinet n’est pas encore couvert à ce titre ou si la couverture s’avère insuffisante au regard des risques auxquels le cabinet est exposé (évalués de manière réaliste, notamment à l’issue d’un audit cyber approfondi…), qu’il faudra alors se lancer dans la révision des contrats déjà souscrits ou dans la quête d’une assurance adaptée, en sollicitant, au besoin les services d’un courtier en assurance.

Le but est de se doter d’une couverture cyber « sur-mesure », soit en ajoutant une option cyber au contrat RCP existant, soit en souscrivant une nouvelle assurance dédiée. Plus largement, la souscription d’une assurance cyber participe du déploiement de la stratégie de cyber-protection du cabinet. En effet, après avoir fait une cartographie des données et informations sensibles et critiques qui sont détenues par le cabinet, la démarche de protection face au risque cyber consiste à faire un audit des risques auxquels le cabinet est réellement exposé et à mettre en place les mesures préventives qui s’imposent. Cela permettra de déterminer les risques résiduels, qui, eux, pourront être transférés à l’assureur.

2. Quels sont les risques couverts par le contrat d’assurance cyber ?

Les contrats d’assurance cyber proposent différents niveaux de couverture des risques, qu’ils soient directs ou indirects, avec, corrélativement, des montants de franchise et des primes annuelles variables. Perte de données et fraudes, intentionnelles ou par maladresse, gestion de crise, frais de notification et prise en charge du manquement à l’obligation de notification, mesure d’urgence et gestion de crise, restauration de données et investigations numériques (forensic), atteinte à la réputation, pertes d’exploitation… Tous les impacts d’un cyber incident sont susceptibles d’entrer dans le champ d’un contrat d’assurance cyber.

Les compagnies d’assurance peuvent, ici comme ailleurs, structurer librement leurs offres et il n’existe pas, pour l’instant, de réel standard sur le marché. En règle générale néanmoins, sous des appellations parfois différentes, le contrat d’assurance cyber comporte au moins trois volets.

Le premier volet couvre les aspects relatifs à la responsabilité civile, avec des garanties qui peuvent d’ailleurs être partiellement redondantes avec le contrat RCP. On y trouvera notamment la couverture des frais de défense en cas de contentieux, du montant des éventuels dommages et intérêts réclamés par les tiers notamment au titre d’une atteinte à la vie privée ou au secret des affaires, ainsi que des amendes et sanctions financières dues en cas de manquement aux obligations prévues notamment par le RGPD.

Le tout, sans oublier la couverture des éventuelles conséquences qu’un incident cyber au sein du cabinet (ou chez l’un de ses prestataires) pourrait avoir sur les systèmes des clients eux-mêmes, en cas de propagation d’un virus ou d’un ver informatique par exemple.

Un deuxième volet sera généralement consacré aux dommages causés à l’organisation par le cyber incident. Le vol d’un ordinateur ou d’un support de stockage de données professionnel vont généralement entrer dans le cadre du contrat RCP.

Mais au titre de l’assurance cyber, seront couverts : les pertes d’exploitation/de revenus liées à l’arrêt ou au ralentissement de l’activité et les frais informatiques (surcoûts de fonctionnement, remplacement des matériels endommagés, assistance par des experts).

Il pourra être opportun de vérifier que les frais nécessaires au redémarrage de l’activité sont bien pris en charge, notamment ceux relatifs à la restauration de données et au forensic.

Un plus sera aussi que l’assurance couvre, au moins en partie, les éventuels frais générés par l’atteinte à la réputation de l’entreprise, ainsi que l’assistance afférente par un ou plusieurs experts.

En revanche, en ce qui concerne spécifiquement les attaques par ransomware [7], il n’est absolument pas recommandé de payer la rançon demandée. Dès lors, la prise en charge de ce type de frais (ou de la négociation du montant) semble assez peu utile, même si les avis sont partagés sur ce point.

Quoi qu’il en soit, il faudra porter une attention toute particulière aux exclusions de garantie, qui concernent souvent les erreurs d’origine humaine, sachant que celles-ci sont à l’origine de l’immense majorité des incidents cyber.

Un troisième volet de garanties de l’assurance cyber tend à proposer des ressources supplémentaires relatives à la gestion de crise cyber, en cas d’incident grave affectant lourdement l’activité du cabinet. La souscription d’une assurance spécifique s’inscrit alors clairement dans la stratégie de cyberrésilience du cabinet, avec le souci d’enrayer techniquement l’incident et d’en limiter l’impact, tout en permettant la continuité et la reprise de l’activité.

Selon le contrat, l’assureur proposera une offre comprenant l’assistance par des experts cyber, pour gérer l’incident et mener les investigations nécessaires, des experts informatiques pour reconstruire les systèmes d’information et restaurer des données, des conseillers en communication de crise, ainsi que, au besoin, une assistance juridique pour gérer cet aspect du problème [8].

Les garanties incluses dans les contrats sont non seulement variables d’un assureur à l’autre, mais, surtout, elles ne sont pas toutes adaptées aux besoins du cabinet. D’où l’utilité, rappelons-le, d’insérer la réflexion sur l’assurance cyber dans la démarche plus globale de gouvernance de l’information au sein des cabinets, en s’appuyant sur un audit des risques qui permettra de déterminer précisément ses vulnérabilités [9]. L’assureur pourra d’ailleurs être amené à s’appuyer sur cette analyse des risques pour proposer la couverture la plus adaptée ; certains d’entre eux proposeront la possibilité de réaliser, par leur intermédiaire, un audit de cybersécurité et une analyse des risques. Ce volet du contrat d’assurance cyber, axé sur la prévention, permettra de faire réaliser par un partenaire spécialisé, des prestations de risk management, des campagnes de sensibilisation au sein du cabinet, ainsi que de délivrer conseils et informations sur les cyber-menaces. Ce faisant, les assureurs contribuent à l’amélioration de la gestion du risque numérique par les organisations.

3. Quels sont les prérequis demandés par l’assureur ?

Le principe, classique, est le suivant : « l’assurance est là pour couvrir l’aléa que la prévention n’a pas suffi à éviter » [10]. Ce sont les risques dit « résiduels » qui vont être transférés à l’assureur. Mais l’assurance n’a pas vocation à compenser l’absence de mise en place (ou l’amélioration) des mesures de protection des systèmes d’information.

C’est la raison pour laquelle des prérequis d’éligibilité peuvent être demandés par la compagnie d’assurance et ceux-ci peuvent différer selon la taille et le secteur d’activité du cabinet.
Le plus souvent, il s’agira d’exiger au préalable, la mise en place de mesures telles que l’utilisation de logiciels antivirus et de pare-feu sur l’ensemble des appareils informatiques, serveurs et réseaux, la réalisation d’une sauvegarde régulière des données, l’absence de perte ou de vol de données dans les mois/années précédents et la réalisation régulière d’actions de sensibilisation des membres du cabinet. Le fait de disposer de plans de continuité et de reprise d’activités face à un incident cyber pourra aussi être vu comme un prérequis et/ou une manière de réduire le montant des primes.

L’avocat sera, peu ou prou, tenu de démontrer que des mesures suffisantes de précaution et de protection du système d’information et des données ont été mises en place. Une autre manière de favoriser l’émergence d’une nouvelle facette des devoirs de l’avocat, de « faire preuve, à l’égard de ses clients, de compétence, de dévouement, de diligence et de prudence » [11]. Une tendance semble d’ailleurs se dessiner au sein du secteur assurantiel : « plutôt que de mettre sur liste noire les clients qu’ils considèrent comme des mauvais élèves, les assureurs pourraient au contraire établir une "liste blanche" de ceux qui agissent bien » [12]. De quoi valoriser sur un autre plan, la démarche "cyber-vertueuse" mise en place au sein du cabinet [13].

Au regard des critères d’assurabilité des risques [14], la question de l’assurance cyber est complexe : « les modèles d’assurance doivent être croisés avec la cartographie du risque cyber. Or, ce risque est mouvant et les dommages ne sont pas nécessairement physiques donc difficilement chiffrables » [15].

Il existe pourtant une offre assurantielle qui s’étoffe progressivement, avec des modalités et des niveaux de couverture extrêmement variables d’un contrat à un autre, tant en ce qui concerne la quantification du risque, que la définition de la prime d’assurance. Avec ou sans l’aide d’un courtier en assurances, il n’en reste pas moins certain que souscrire une assurance cyber adaptée aux risques du cabinet est une vraie bonne résolution de la rentrée.

A. Dorange Rédaction du Village de la Justice