Dans la 5e édition de sa cartographie prospective 2022 des risques de la profession de l’assurance et de la réassurance, la fédération France assureurs rappelle que risque cyber se place tout en haut du classement pour la 5e année consécutive [1]. La gestion du risque numérique doit donc devenir une préoccupation de premier ordre en 2022. Dans ce cadre, faut-il souscrire un contrat spécifique et quels sont les risques couverts par le contrat d’assurance cyber ?

1. Faut-il souscrire un contrat spécifique au risque cyber ?

Les menaces et les risques en matière de cybersécurité sont réels et diversifiés et les cabinets d’avocat n’y échappent pas ; ils semblent même devenir une cible privilégiée. Or les conséquences d’un incident de cybersécurité sont presque immanquablement dommageables, voire hautement préjudiciables. Elles se réalisent aux dépens du praticien lui-même, en termes financiers, de capacités opérationnelles et de réputation notamment ; elles se produisent aussi au détriment de ses clients.

Les moyens dont dispose l’avocat pour se protéger contre des poursuites pour manquement ses obligations professionnelles ou, plus largement à la sécurisation insuffisante des données et informations confiées ou créées par le cabinet, résident sans surprise dans le transfert des risques. Ce dernier peut se faire selon deux axes :
 l’externalisation informatique ;
 le système assurantiel, qui nous intéresse ici.

Certains des risques cyber sont déjà inclus dans le contrat d’assurance responsabilité civile professionnelle (RCP), principalement sous les aspects de la violation de données à caractère personnel et de l’inexécution contractuelle liée à une indisponibilité des données ou des systèmes d’information. Il est donc tout à fait possible que le risque numérique soit déjà couvert, au moins partiellement, explicitement ou non.
Mais la tendance est davantage à une exclusion du risque cyber, au profit de contrats plus spécifiques et la majorité des contrats RCP ne couvrent pas les tous les incidents ayant pour origine un incident cyber. La fraude informatique, le piratage ou l’erreur humaine non intentionnelle font, dans l’immense majorité, l’objet d’exclusions contractuelles.

Dans ce cadre, la première étape est de faire un état des lieux et d’auditer les contrats d’assurance déjà souscrits par le cabinet. Il pourra également être utile de s’informer auprès de l’Ordre pour savoir si une couverture collective a été souscrite en faveur des praticiens inscrits au Barreau. Ce n’est que si le cabinet n’est pas encore couvert à ce titre ou si la couverture s’avère insuffisante qu’il faudra alors se lancer dans la révision des contrats déjà souscrits ou dans la quête d’une assurance adaptée, le but étant de se doter d’une couverture cyber « sur-mesure ».

2. Quels sont les risques couverts par le contrat d’assurance cyber ?

Les contrats d’assurance cyber proposent différents niveaux de couverture des risques, qu’ils soient directs ou indirects, avec, corrélativement, des montants de franchise et des primes annuelles variables. Perte de données et fraudes, intentionnelles ou par maladresse, gestion de crise, frais de notification et prise en charge du manquement à l’obligation de notification, mesure d’urgence et de gestion de crise, restauration de données et investigations numériques (forensic), atteinte à la réputation, pertes d’exploitation...
Tous les impacts d’un cyber incident sont susceptibles d’entrer dans le champ d’un contrat d’assurance cyber. Les compagnies d’assurance peuvent, ici comme ailleurs, structurer librement leurs offres et il n’existe pas, pour l’instant, de réel standard sur le marché.

En règle générale néanmoins, sous des appellations parfois différentes, le contrat d’assurance cyber comporte au moins trois volets :

 Le premier volet couvre les aspects relatifs à la responsabilité civile, avec des garanties qui peuvent d’ailleurs être partiellement redondantes avec le contrat RCP.
On y trouvera notamment la couverture des frais de défense en cas de contentieux, du montant des éventuels dommages et intérêts réclamés par les tiers notamment au titre d’une atteinte à la vie privée ou au secret des affaires, ainsi que des amendes et sanctions financières dues en cas de manquement aux obligations prévues notamment par le RGPD. Le tout, sans oublier la couverture des éventuelles conséquences qu’un incident cyber au sein du cabinet (ou chez l’un de ses prestataires) pourrait avoir sur les systèmes des clients eux-mêmes, en cas de propagation d’un virus ou d’un ver informatique par exemple.

 Un deuxième volet sera généralement consacré aux dommages causés à l’organisation par le cyber incident. Le vol d’un ordinateur ou d’un support de stockage de données professionnel vont généralement entrer dans le cadre du contrat RCP. Mais au titre de l’assurance cyber, seront couverts : les pertes d’exploitation/de revenus liées à l’arrêt ou au ralentissement de l’activité et les frais informatiques (surcoûts de fonctionnement, replacement des matériels endommagés, assistance par des experts). Il pourra être opportun de vérifier que les frais nécessaires au redémarrage de l’activité sont bien pris en charge, notamment ceux relatifs à la restauration de données et au forensic. Un plus serait aussi que l’assurance couvre, au moins en partie, les éventuels frais générés par l’atteinte à la réputation de l’entreprise, ainsi que l’assistance afférente par un ou plusieurs experts.
Quoi qu’il en soit, il faudra porter une attention toute particulière aux exclusions de garantie, qui concernent souvent les erreurs d’origine humaine, sachant que celles-ci sont à l’origine de l’immense majorité des incidents cyber.

 Un troisième volet de garanties de l’assurance cyber tend à proposer des ressources supplémentaires relatives à la gestion de crise cyber, en cas d’incident grave affectant lourdement l’activité du cabinet. La souscription d’une assurance spécifique s’inscrit alors clairement dans la stratégie de cyberrésilience du cabinet, avec le souci d’enrayer techniquement l’incident et d’en limiter l’impact, tout en permettant la continuité et la reprise de l’activité. Selon le contrat, l’assureur proposera une offre comprenant l’assistance par des experts cyber, pour gérer l’incident et mener les investigations nécessaires, des experts informatiques pour reconstruire les systèmes d’information et restaurer des données, des conseillers en communication de crise, ainsi que, au besoin, une assistance juridique pour gérer cet aspect du problème.

Les garanties incluses dans les contrats sont non seulement variables d’un assureur à l’autre, mais, surtout, elles ne sont pas toutes adaptées aux besoins du cabinet. D’où l’utilité, rappelons-le, d’insérer la réflexion sur l’assurance cyber dans la démarche plus globale de gouvernance de l’information au sein des cabinets, en s’appuyant sur un audit des risques qui permettra de déterminer précisément ses vulnérabilités.

L’assureur pourra d’ailleurs être amené à s’appuyer sur cette analyse des risques pour proposer la couverture la plus adaptée ; certains d’entre eux proposeront la possibilité de réaliser, par leur intermédiaire, un audit de cybersécurité et une analyse des risques. Ce quatrième volet du contrat d’assurance cyber, axé sur la prévention, permettra de faire réaliser par un partenaire spécialisé, des prestations de risk management, des campagnes de sensibilisation au sein du cabinet, ainsi que de délivrer conseils et informations sur les cyber-menaces.

Article extrait du dossier paru initialement dans le Journal du Village de la Justice n°92 Spécial Cybersécurité des cabinets d’avocats (2nde partie) à retrouver ici.

Par A. Dorange Responsable éditoriale du Journal du Village de la Justice