Risques techniques, Audit et Assurance (Feuilletage) by INFOPRO DIGITAL

ment cantonnée à la perte d’exploitation après incendie ou catastrophe naturelle et au bris de machine, doit désormais couvrir les risques de catastrophe industrielle, de terrorisme, et d’émeutes ou mouvements populaires, jusque-là, de la responsabilité de l’État. Dans cet ouvrage, l’expertise des auteurs permet aux assureurs, courtiers et risks managers non seulement d’identiﬁer les risques techniques et d’optimiser au mieux leur couverture d’assurance alors même que l’univers des risques industriels ne cesse de s’étendre : le risque de réputation, les nanotechnologies, et demain la responsabilité civile des constructeurs de voitures autonomes. Pour chaque type de risque, le lecteur pourra se reporter à une grille d’analyse permettant d’opter pour les garanties adaptées.

Pendant 25 ans, Denis Legrand a été ingénieur, préventeur, souscripteur, consultant et manager chez Gras Savoye puis chez Marsh où il a dirigé le secteur Risk Consulting à Paris. Depuis 2006, il est expert (Naudet, Roux, ECCE Associés cabinet qu’il a fondé en 2012). Auteur et conférencier (AMRAE, CNPP, IMR…), il enseigne depuis 1996 aux Master et MBA du Cnam Enass. Titulaire d’un DEA en Géographie et Aménagement et diplômé de l’ISR, Franck Le Moine a commencé sa carrière comme inspecteur commercial puis souscripteur transport chez PFA (Groupe Athéna) avant de prendre la responsabilité des risques de guerre à la CCR (Caisse centrale de réassurance) pendant 27 ans, puis celle du terrorisme avec garantie de l’État. En parallèle, il a enseigné dans ses spécialités (principalement au Cnam Enass). Patrick Thourot est Inspecteur général des ﬁnances honoraire. Il a occupé des fonctions de direction générale dans plusieurs entreprises d’assurance et de réassurance (Coface, Groupe Athéna, AXA, Zurich France et Scor). Il est aujourd’hui Président de Forsides Actuary. Il a été Professeur Associé au Cnam Enass et a enseigné à Sciences Po Paris, Paris Dauphine et HEC.

www.reglementation-assurance.com ISBN 978-2-35474-313-0

9 782354 743130

RISQUES TECHNIQUES, AUDIT ET ASSURANCE

Naguère complément des assurances des grands risques d’entreprises, incendie, responsabilité civile et construction décennale, les risques dits « techniques » prennent désormais une place croissante dans les préoccupations des risks managers quel que soit la taille de leur structure. La perte d’exploitation s’étend, avec la mondialisation des activités, aux dommages matériels qui perturbent des chaînes de production fonctionnant à « ﬂux tendu ». Le risque informatique est devenu le « risque cyber » et les perspectives de gravité et de fréquence inquiètent de plus en plus les professionnels. La pollution accidentelle est aujourd’hui étendue au risque d’atteinte à l’environnement et au « préjudice écologique », inscrit à l’article 1246 du Code civil. L’interruption d’activité, précédem-

FONDAMENTAUX

LES

ASSURANCES DE DOMMAGES

RISQUES TECHNIQUES, AUDIT ET ASSURANCE

ASSURANCES DE DOMMAGES

RISQUES TECHNIQUES, AUDIT ET ASSURANCE Bris de machines Pertes d’exploitation Risques d’interruption d’activité Risques informatiques et cyber risk Tous risques chantiers Risques environnementaux Marchandises transportées

Préface de Gilles Bénéplanc

Denis Legrand Franck Le Moine Patrick Thourot

sommaire Préface...........................................................................................................................................................................9 Introduction.............................................................................................................................................................. 13 Sommaire....................................................................................................................................................................21 Chapitre I Chapitre II Chapitre III Chapitre IV Chapitre V Chapitre VI

– Méthodologie : une cartographie des risques techniques..................................... 23 – Les assurances de bris de machine................................................................................... 39 – Les risques de perte d’exploitation et l’assurance des pertes immatérielles... 59 – Les risques spécifiques d’interruption d’activité ....................................................... 87 – Le risque cyber........................................................................................................................105 – Les risques environnementaux et les garanties souscrites par les entreprises.................................................................................................................135 Chapitre VII – Les risques liés aux projets et aux chantiers..............................................................151 Chapitre VIII – L’assurance des marchandises transportées...............................................................169 Chapitre IX – Les nouveaux risques technologiques...........................................................................211 ANNEXES Annexe I Annexe II Annexe III Annexe IV Annexe V Annexe VI

–G lossaire....................................................................................................................................229 – É tude de cas............................................................................................................................239 – É chelle de gravité des sinistres nucléaires...................................................................251 –A nalyse du contrat CARE 2017 - Entreprises d’Assurpol......................................253 –R isques environnementaux...............................................................................................261 –P rotection des données et cyber risque....................................................................... 271

Bibliographie .........................................................................................................................................................277 Table des matières................................................................................................................................................281 Index alphabétique..............................................................................................................................................289

www.reglementation-assurance.com

Le risque cyber

Section IV – La souscription du « risque cyber » I – C onsidérations générales Ce sujet est peut-être le plus difficile. Les risques, y compris les risques sériels sont à peu près connus et décrits, ainsi que les besoins de couverture de ceux-ci. À l’exception des risques terroristes, des ambiguïtés sur le caractère assurable des rançons et pénalités, on peut considérer que les instruments et moyens de couverture existent, mais que leur efficacité économique reste à prouver. En revanche, le business model de la garantie cyber est à définir. En outre, le risque est en permanente évolution : les dommages sont constants et connus, mais leur « mode de production » change très rapidement. Enfin, l’évaluation des coûts demeure mal connue. L’EIOPA et l’OCDE déplorent l’absence de données historiques solides permettant d’évaluer la fréquence et la gravité, et surtout la rétention d’information de la part des entreprises victimes. L’évaluation des fréquences et des coûts moyens de sinistres n’a pas quitté le domaine de la modélisation théorique pour entrer dans l’expérience statistique. Le Lloyd’s fournit des nombres de sinistres par cause (vol, sabotage, fraude, logiciel malveillant, atteintes aux données, négligence ou mauvaise intention des salariés, activités malveillantes sur les réseaux sociaux). KPMG estime à 400 milliards de dollars le coût global du crime cyber. Les études de cas sont toujours ciblées sur les très grands risques : le coût global du sinistre Target serait de l’ordre de 279 M USD (KPMG/LLoyd’s - estimation de juin 2017), celui du vol de données à l’opérateur de télécoms britannique Talk Talk de 96 M d’Euros. Les modélisations des réassureurs sur les sinistres extrêmes de risques systémiques sont très agressives : de 5 à 15 000 milliards de dollars pour le modèle Sybil (2014), 243 milliards pour un blackout de l’électricité dû à une attaque cyber (Cambridge /RMS 2016), scénario SCOR sur l’attaque du Cloud qui conclut à des coûts de plusieurs milliards de dollars, scénarios d’attaque de systèmes bancaires (manifestement moins coûteux), etc. Il est probablement plus sage de s’en tenir aux travaux de la FFA qui estime, sur 921 événements, le coût moyen à 7,84 M USD, le coût médian à 0,25 M USD et le coût maximal à 750 M USD (FFA, janvier 2018), sur un échantillon d’incidents 2005/2014 (Romanovsky, août 2016, cité par FFA). Mais on ne saurait négliger que : - les coûts et les fréquences sont rapidement croissants ; - les risques peuvent être fortement corrélés, et l’« agrégation » de risques, devenu sériels, est possible ; - l’évaluation du SMP repose sur de nombreux aléas : rapidité de l’intervention, connaissance du périmètre de la contamination (combien de clients sont affectés ?), caractère intangible des pertes (risque de réputation, valeur de la marque) ; - les grandes entreprises assurables sont fortement motivées, et clairement organisées (cf. ce qui est dit ci-dessus par l’Apref sur les banques), mais les ETI/PME le sont beaucoup moins, alors qu’il s’agit probablement des victimes potentielles les plus nombreuses et les plus « faciles » pour les agresseurs ; www.reglementation-assurance.com

125

Risques techniques, audit et assurance

- une partie importante de l’indemnisation est faite en nature, donc avec des coûts difficiles à appréhender ex ante, par différence avec la perte d’exploitation traditionnelle. Les coûts réglementaires ne sont pas clairement prévisibles à l’heure actuelle, mais les montants maximaux sont très élevés, voire de nature à compromettre la poursuite d’une exploitation (cf. encadré ci-après sur le RGPD) ; - l’absence d’expérience statistique fiable des fréquences et des coûts de sinistres (propre à tous les risques émergents) est soulignée par l’OCDE comme le principal obstacle à la modélisation. L’Organisation note aussi parmi ces obstacles, la nature évolutive du risque et de ses impacts (changement technologique, changement de règlementation, évolution constante des modes d’attaque). Elle souligne enfin que le caractère sensible de l’information sur les modes de défense internes crée la réticence des entreprises à communiquer de l’information sur les événements cyber survenus ; - d’une manière générale, il faut traiter le risque cyber comme un risque de réseau, ce qui veut dire que les attaques se produisent sur un ou plusieurs « nœuds » de ce réseau et se propagent ensuite. C’est donc la qualité de la sécurité du « nœud » de réseau qui doit être testée pour déterminer l’assurabilité du risque. Cela signifie aussi que le risque cyber peut devenir rapidement un risque sériel. Les virus de pur sabotage ne sont pas véritablement ciblés. Ils ont pour objectif de se déployer auprès du plus grand nombre possible d’utilisateurs d’un logiciel. L’assuré peut donc être la victime d’une « épidémie ». La souscription du risque individuel ne peut rien contre cette perspective, mais la tarification peut appliquer une sorte de « surprime » catastrophe ou sérielle, à l’instar de la tarification des complémentaires santé qui prévoient (normalement…) une réserve pour épidémie ; - les capacités de couverture pour les entreprises françaises sont à l’heure actuelle estimées à 410/565 M euros pour le marché français, augmentées de 100 M euros à Londres et de 400 M US$ aux États-Unis. Ces capacités sont probablement, au regard de l’ampleur des SMP, très insuffisantes, ce qui rend indispensables des progrès rapides dans la modélisation du risque et des coûts de sinistres. En revanche, leur développement fait peu de doute face à un risque très général, donc où l’antisélection est absente, et redouté, ce qui implique que le hasard moral est faible. On imagine mal une entreprise réduisant ses investissements en sécurité informatique du fait de son assurance cyber. Au demeurant, l’application du RGPD dissuaderait vite l’entreprise de prendre ce risque « réglementaire ».

II – T arification Le régulateur européen a donné quelques indications sur les modalités de tarification adoptées par les assureurs. L’Autorité européenne consacre à ce sujet d’importants développements sur le « risque silencieux » souvent non tarifé et mal réassuré et sur le risque « d’accumulation » (le risque sériel). Dans ce dernier cas, elle regrette la faiblesse des « scénarios » de désastre réaliste, de nature stochastique, qui permettraient de mieux tarifer et réassurer le risque sériel. On pourrait aussi redouter que des scénarios catastrophe (cf. ci-dessous les travaux du Lloyd’s) ne conduisent à faire fuir la capacité ou afficher des exigences de niveau de primes finalement dissuasifs. 126

www.reglementation-assurance.com

Le risque cyber

Les entreprises d’assurances, selon l’enquête de l’EIOPA (2018, p. 15) utilisent les modèles de tarification suivants : - des modèles « qualitatifs » : hypothèses d’estimations d’exposition au risque, fondés sur des questionnaires aux clients et le jugement d’expert. C’est une tarification finalement fondée sur l’appréciation des mesures de sécurité/protection et sur l’implication de l’entreprise et de ses dirigeants dans la connaissance et la gestion du risque ; - des modèles « quantitatifs » fondés sur des outils de pricing actuariels et des modèles d’interconnexion des paramètres significatifs du risque ; - des facteurs de tarification utilisés dans l’un ou l’autre modèle : la taille de l’entreprise assurée ; la classification de l’entreprise en fonction du caractère plus ou moins exposé au risque cyber de leur activité : les entreprises gestionnaires de larges fichiers clients, dont les banques, sont plus exposées qu’un exploitant de machines industrielles gérées par des logiciels ; le comportement du client (implication dans la connaissance et la gestion du risque) ; l’historique des accidents cyber et des sinistres indemnisés ; les assurances existantes (couverture « silencieuse » mais aussi situation globale du « coverage » : souslimites, franchises, exclusions) ; lieu de situation du risque (« juridiction ») ce qui signifie aussi sous-traitance, recours au « cloud » et droit applicable en cas de sinistre ; qualité des traitements et process informatiques ; niveau d’encryptage des données ; niveau supposé des impacts d’incidents informatiques (par exemple nombre de « victimes », durée supposée de l’indisponibilité du système d’information ou des données) ; limites des polices en cours (exclusions). À partir de ces éléments, il reste à évaluer l’interférence avec les polices existantes (le risque silencieux), éventuellement à organiser une offre d’amélioration cyber des polices existantes (avec les primes complémentaires y afférentes) ou à construire une offre cyber spécifique. Il n’y a pas d’autres moyens d’apprécier et de tarifer le risque dit d’agrégation (risque sériel) que d’appliquer des stress tests scénarios, de nature stochastique. Il faut reconnaître que nous sommes très loin – aujourd’hui – de répondre à cette demande. L’EIOPA formule une liste des paramètres inclus dans les scénarios stress tests existants et utilisés par les entités de (ré)assurances interrogées par l’Autorité : taux d’attaque cyber (nombre d’« incidents ») ; vecteurs des attaques ; actifs impactés et actifs détruits ; nombre de polices affectées par le même événement ; coûts ; nombre de « contrats » (sans doute les données impactées) ; période prévisible d’interruption ; exposition au péril ; étendue de l’impact et délai de la reprise des affaires ; nombre de clients affectés et ampleur « géographique » de l’accident ; profil géographique et limites du risque ; interaction avec les réassureurs. Cette liste, largement redondante, donne tout de même une indication du contenu de la visite de risque et de la description qui s’en suit. Les scénarios permettent d’éclairer la notion de sinistre maximum possible, sinon de la probabiliser. L’EIOPA fait également une liste des « exclusions » qui figurent selon elle, à l’heure actuelle, dans les polices traditionnelles ou spécifiques. L’inventaire est un peu surréaliste car il mêle divers angles d’explication : nous avons essayé d’y mettre un peu d’ordre. Il s’agit : - des exclusions « traditionnelles » de l’assurance grands risques : la guerre ; les « risques politiques » et la grève (donc les grèves, émeutes, mouvements populaires et sans doute les « révolutions » ou les actes gouvernementaux interdisant l’usage des données ou des réseaux par exemple en Chine) ; les risques nucléaires ; les attaques de cyber terrorisme. www.reglementation-assurance.com

127

Risques techniques, audit et assurance

Cette dernière exclusion tient compte des diverses organisations mises en place en Europe pour la garantie du risque terrorisme (GAREAT, Pool Ré, Consorcio, etc.) ; les catastrophes naturelles (même explication) ; - les exclusions probablement liées à la dualité des contrats (généraux et spécifiques), mais parfois difficilement explicables : dommages aux biens et dommages matériels (destruction de locaux ou des serveurs – sans doute couverts par ailleurs), les dommages corporels (sujet abordé par le CRO Forum et l’OCDE), la défaillance des infrastructures (IT ou autres) ; les dommages immatériels non consécutifs (DINC ou Contingent Business Interruption) et la responsabilité civile des mandataires sociaux ; - les exclusions de type « réglementaires » ou liées à la régulation : recueil non autorisé de données par l’assuré, amendes/sanctions des autorités de régulation, vol de services de télécommunications, paiement de rançons liées aux opérations d’extorsion et tout paiement lié aux extorsions (à noter que cela contredit certaines déclarations des entreprises consultées par l’Eiopa) ; - les exclusions plus « spécifiques » : réclamation des fournisseurs de service internet pour cause de Denial of Service ; l’indemnisation de la valeur économique des données ; c’est le cas où les données volées ont un prix dont le volé se prévaudrait (or, les données volées ont effectivement un prix sur le Darknet) et doit viser également la valeur des procédés et secrets de fabrication volés par un hacker ; - les exclusions folkloriques de secteurs d’activité dont la garantie n’est pas considérée comme possible par les entités interrogées par l’EIOPA : les paris en ligne et les jeux en ligne, les enchères de produits de consommation pour un grand nombre de consommateurs, les prêts personnels, les ventes en ligne de distractions pour adultes, les agences matrimoniales, les ventes d’armes en ligne et les sites de trading de monnaie virtuelle ou cryptomonnaies. Sur ces bases, l’EIOPA se plaît à souligner les principales difficultés de la tarification des cyber risques. L’Autorité revient à maintes reprises sur l’insuffisance de l’information sur le risque et sur la réticence du marché à partager cette information. La raison en est la vive concurrence entre acteurs sur un marché neuf et en expansion, mais surtout la discrétion des entreprises victimes d’attaques cyber qui craignent pour leur réputation. À noter que l’EIOPA étudie l’opportunité de prendre des mesures de régulation, à l’intérieur du régime Solvabilité 2 : création d’une ligne ou d’une catégorie « risque cyber » avec un calcul de besoin en capital dans le cadre du Solvency Capital Requirement (SCR, capital de solvabilité requis), régulation du risque d’agrégation et du risque d’accumulation de type stress test du risque catastrophe. À notre sens, le risque principal, au-delà du « risque silencieux » et des scénarios sériels catastrophiques, tient dans l’extrême multiplicité des causes de sinistres et au rythme du progrès technique dans le domaine des sciences de l’information. L’utilisation du « cloud » est une menace récente mais certaine, l’internet des objets expose un nombre croissant de consommateurs aux vols de données et nul ne peut encore mesurer l’impact du RGPD, etc. La souscription du risque est plus que jamais annuelle et les conditions de la garantie doivent sans aucun doute être revues chaque année. Comme l’indique l’EIOPA, les mesures à prendre pour s’engager dans la souscription n’en demeurent pas moins traditionnelles : disposer de souscripteurs compétents (chez l’assureur 128

www.reglementation-assurance.com

Le risque cyber

et chez les courtiers), évaluer la connaissance du risque par le client et surtout l’attention qu’il lui porte, évaluer les risques de « silent cover » et d’exposition au risque sériel, et chercher à recueillir une expérience historique du risque. Ainsi pourra-t-on passer d’une approche qualitative du risque à une mesure plus actuarielle. Naturellement, les assureurs redoutent la sous-tarification et les risk managers risquent de refuser des produits et services spécifiques, mais de prix plus élevés que les garanties classiques. Le sujet peut être également traité par la réassurance. On évoque souvent des stop-loss pour les couvertures silencieuses. Mais les réassureurs disposent clairement actuellement de capacités importantes sur les divers marchés européens pour couvrir les risques cyber. Encore faut-il qu’ils soient associés à la souscription et à la tarification soit dans les traités quotepart soit dans la souscription des facultatives.

III – D iagnostic et prévention Ces deux étapes de la souscription sont moins que jamais séparables de l’émission du tarif et de la police. La qualité des sécurités informatiques, les règles de fonctionnement des utilisateurs, les recours ou non à des prestataires extérieurs, à l’infogérance, au « cloud », tout comme la maîtrise des données en interne et le contrôle exercé sur les acteurs extérieurs à l’entreprise, sont autant d’éléments qui rendent le risque « assurable » à des prix acceptables pour l’entreprise cliente. Il en résulte 3 conséquences : - l’importance de la maîtrise par l’entreprise cliente, du « guide d’hygiène informatique » (renforcer la sécurité de son système d’information en 42 mesures édité par l’ANSSIVersion 2.0 révisée – de janvier 2017 ; voir Annexe VI), qui donne l’essentiel des mesures à prendre, et doit être « vérifié » par les structures de l’assureur/courtier pour garantir l’assurabilité de base du risque. Il est de même souhaitable de se reporter au petit guide conçu par la Fédération Française de l’assurance en 2018 pour sensibiliser les TPE/PME au cyber risque et à ses conditions d’assurance ; - la qualité de l’organisation mise en place par l’entreprise en ce qui concerne ses obligations en matière de gestion des données personnelles, et en particulier, l’implication du comité exécutif dans cette organisation, sera un facteur majeur d’assurabilité dans les années à venir. Laisser toute responsabilité au directeur des systèmes d’information et au responsable de la sécurité informatique sans appui du risk manager, de l’audit interne et de la direction générale est sans aucun doute une erreur coûteuse en prime d’assurance ; - la compétence en matière d’appréciation de la sécurité informatique du client, de la part des courtiers et assureurs appelés à côter et à souscrire le risque. C’est une évidence mais elle est renforcée par la complexité du risque cyber. Les souscripteurs doivent être étroitement informés de l’évolution du risque (les techniques évoluent sans cesse) et de l’exposition plus ou moins forte au risque des secteurs assurables. Ce n’est pas un hasard si les gestionnaires importants de données personnelles (banques, assurances, télécom, grande distribution) sont particulièrement attentifs au sujet. La gestion du réseau informatique doit être particulièrement suivie à tous les niveaux de l’entreprise. www.reglementation-assurance.com

129

Risques techniques, audit et assurance

Peut-on, compte tenu de ces éléments, esquisser des « critères » de tarification ? Plusieurs pistes de solution peuvent être proposées : - l’ampleur des bases de données clients et la qualité de leur renseignement est un premier critère de tarification évident : il mesure l’exposition au risque de l’entreprise. Il n’est pas sûr que les entreprises tiennent des états exacts des incidents cyber dont elles ont été victimes. Elles sont sans doute réticentes à les communiquer mais c’est une base incontournable de la tarification ; - la nature de l’activité est cousine de la remarque précédente : le « retail », les télécommunications, les « utilities » (eau, gaz, électricité), les activités financières, les activités juridiques et les services de santé sont traditionnellement considérés comme plus exposés que les autres ; - la qualité globale des protections techniques et les règles de sécurité adoptées par l’entreprise assurable (cf. ci-dessus), ce qui suppose, pour l’apprécier, un dialogue confiant de l’assureur (du courtier) avec les responsables du système d’information de l’entreprise assurable ; - l’attitude générale du client et sa motivation sur le sujet : la recherche du maintien dans le cade assurantiel existant, le niveau élevé des franchises, la faible motivation des dirigeants à l’égard des risques cyber, la connaissance par le management des « incidents » survenus dans le passé, etc. sont des indicateurs de probabilité de sinistres ; - la dépendance du secteur d’activité à la réputation, la valorisation de la marque, la sensibilité aux réseaux sociaux, et plus généralement, l’intensité de la concurrence dans le secteur considéré sont des facteurs d’aggravation du risque. L’exemple de l’agroalimentaire (qualité des produits, sincérité de l’information au consommateur) est significatif à cet égard ; - le coût de l’interruption de livraison, de production, de service, est traditionnel en matière de perte d’exploitation, et s’applique donc au risque cyber ; - le recours plus ou moins extensif à la sous-traitance (y compris industrielle) et la qualité de la gestion des sous-traitants et de leurs systèmes d’information est un critère d’appréciation du risque qu’il serait bon d’adopter. Le « cloud » est au cœur de ces sujets, surtout depuis l’application du RGPD ; - et, naturellement, le passé de l’assuré dans le domaine du risque cyber : attaques antérieures, nature, diagnostic, durée du sinistre, mesures de correction prises, etc. On ne saurait passer sous silence, au titre de l’assurabilité, la qualité et la solidité de l’organisation de la fonction « conformité » au regard de l’application du RGPD, qui constitue pour l’entreprise une sensible aggravation du risque cyber vu de l’entreprise (responsabilité et sanctions financières lourdes). Il faudra apprécier notamment la mise en place des structures prévues par le RGPD : Responsable des Traitements (indépendant du DSI) et délégué à la protection des données, « registre des traitements », modalité de conduite des études d’impact. La qualité de cette organisation et le rôle de contrôle que la structure conformité y joue est déterminante de l’assurabilité du risque RGPD. D’une manière générale, la souscription n’est jamais « nouvelle ». Il est donc important d’évaluer l’état de la couverture existante du client au regard du risque cyber. C’est l’activité de l’assureur/courtier que de mesurer l’écart entre le risque potentiel que court le client et le niveau des garanties dont il dispose. Ce « gap analysis » n’est pas, en l’espèce, un simple 130

www.reglementation-assurance.com

Le risque cyber

instrument commercial, il doit être aussi - et surtout - un effort pédagogique et un élément du devoir de conseil. L’entreprise doit savoir qu’elle refuse (ou accepte) la garantie investigation (normes de sécurité des cartes de paiement) ou une garantie de gestion de crise, en estimant qu’elle a (ou n’a pas) les moyens d’y faire face sur ses propres forces.

Section V – L a gestion des risques Le risque est encore trop récent pour qu’il se soit instauré une pratique globale de gestion des sinistres. On relèvera cependant les points suivants. Comme il a été dit ci-dessus, le sujet des couvertures multiples et des « garanties silencieuses » est le premier sujet pour l’assureur en cas de déclaration de sinistre. Il faut en effet définir ce qui est effectivement assuré, notamment en l’absence de garantie cyber spécifique. Ce sera, dans les années qui viennent, un sujet de contentieux délicat avec les clients, qui ne sera résolu que lorsque le jeu des exclusions dans les polices « traditionnelles » au profit des garanties cyberspécifiques sera achevé. La garantie « gestion de crise » prévoit en général la mise en place de services d’urgence pour faire face aux diverses atteintes aux systèmes et aux données, notamment la communication aux clients, et l’assistance d’urgence aux services informatiques, pour limiter les conséquences de la crise. Elle prévoit souvent la mise en œuvre d’une aide à la communication générale pour faire face aux atteintes à la réputation. L’ensemble traite aussi de l’aide à la notification aux autorités publiques des atteintes aux données personnelles, dans le cadre de la nouvelle réglementation. Sans le dire explicitement, cette gestion de crise s’applique aux négociations éventuelles avec les « rançonneurs » ou aux travaux faits pour contrer leur intervention sur les systèmes informatiques (dés-encryptages de données), actions pour lesquelles l’assureur doit disposer d’experts très « pointus ». L’assureur prend en charge les frais de défense dans le cadre d’une éventuelle enquête administrative, mais n’assure pas en principe cette défense lui-même. Il peut, dans le cadre de sous-limites, prendre en charge les sanctions pécuniaires assurables (cf. ci-dessus), prononcées par l’autorité administrative à la suite de l’enquête. Cette partie de la gestion risque d’être particulièrement délicate pour l’assureur, compte tenu des niveaux élevés des sanctions que le RGPD autorise la CNIL à prononcer (jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise assurée). En outre, l’assureur liquide la garantie des pertes d’exploitation liées à l’indisponibilité du système d’information (totale ou partielle), ainsi que l’indemnisation des frais supplémentaires d’exploitation. Quant aux modalités de gestion des garanties RC (garantie en base réclamation et garanties subséquentes) ne sont pas modifiées par les caractéristiques du risque « cyber » (qui est un risque à déroulement court).

www.reglementation-assurance.com

131

Risques techniques, audit et assurance Grille d’analyse de la couverture cyber par type de risque

Cette grille propose une analyse (française) plus ciblée et plus simple que le document OCDE reproduit en Annexe VI en prenant quelques exemples de risques :

132

www.reglementation-assurance.com

Le risque cyber

Section VI – Conclusion Le risque cyber est polymorphe, en ceci qu’il s’applique autant aux matériels qu’aux données, et désormais à l’impalpable « réputation » des entreprises. Comme le dit le CRO forum, il s’étend aux personnes (victimes collatérales), à l’environnement (épandage de produits toxiques ou polluants du fait du mauvais fonctionnement par erreur ou malveillance). Il repose néanmoins sur d’anciennes motivations : le vol (de données, de licences), la piraterie, le sabotage, la fraude, l’extorsion, la prise d’otage, mais aussi l’erreur humaine non malveillante. Sa modernité, si l’on peut dire, tient à sa capacité de prolifération (sinistre sériel résultant de la mise en réseau des systèmes d’information, existence du Cloud) et aux difficultés de la prévention, du fait de l’inflation constante de l’imagination créatrice et des moyens d’action des bandits. Cinq sujets méritent l’attention des responsables assureurs/courtiers et assurés, qui doivent guider leur démarche : - la technologie est désormais dotée d’une capacité d’innovation sans précédent : il suffit de voir qu’un incident cyber dans le « cloud » pose des questions d’assurabilité, que Facebook est un moyen de dispersion de « fake news » ou de documents confidentiels, et d’atteinte à la réputation, que l’intelligence artificielle pourrait rapidement produire des robots malveillants, etc. ; - la dangerosité, (et le coût) des incidents cyber est liée à l’interconnexion croissante des réseaux informatiques. Cela confère à certains incidents cyber un caractère sériel qui n’existait jusqu’à présent que dans le cas des catastrophes naturelles et des épidémies ; - la rapidité du développement de la digitalisation ne peut que rendre plus dangereux le cyber risque (l’Internet des objets, le vol d’identité) ; - l’usage des réseaux sociaux, notamment pour le dénigrement des produits/services d’une entreprise est une composante majeure du risque ; - l’importance, la complexité et la sévérité de la réglementation sur la protection des données personnelles (privées/confidentielles) sont un facteur aggravant, compte-tenu du coût possible de certaines sanctions. Dans ce contexte, l’assurabilité du risque n’est pas mise en cause : les marchés d’assurances disposent de conditions de couverture efficaces et adaptées à la pluralité des risques. Elle pose néanmoins trois questions, non encore résolues : - le caractère supportable de la prime pour l’assuré, compte-tenu des engagements nouveaux d’indemnisation (expertise, négociation, assistance à la communication de crise, coûts des dommages immatériels non consécutifs, coûts des amendes et pénalités) et des chiffres effarants des coûts des grands sinistres en milliards de dollars ; - la disponibilité d’une capacité de réassurance suffisante, qui n’est pas mise en cause sur le marché français, mais pourrait l’être si de nouveaux sinistres sériels survenaient ; - l’indispensable construction d’une base de données nationale, systématiquement renseignée sur tous les événements cyber (et pas seulement les plus importants) qui surviennent en France au moins, en Europe au mieux. Cette base permettrait à une instance internationale de recommander des mesures pour lutter contre la cybercriminalité (OCDE/CRO Forum ?) et promouvoir l’assurabilité du cyber risque. www.reglementation-assurance.com

133

Chapitre VI

les risques environnementaux et les garanties souscrites par les entreprises Section I — Définition du risque......................................................................................... 136 Section II — Plusieurs régimes de Responsabilité « pollution » plus ou moins cohérents................................................................................. 138 Section III — Les assurances de la responsabilité civile des atteintes à l’environnement et des préjudices écologiques ............................. 140 Section IV — La tarification des risques.............................................................................. 144

Peu de domaines d’activité auront donné lieu à une cascade de textes juridiques aussi forte que les risques environnementaux : le Conseil de l’Europe, les Directives européennes, les lois françaises sur les établissements classés, l’eau, l’air, les zones protégées pour cause de biodiversité, les régimes de responsabilité civile spéciales, et désormais deux régimes de responsabilité générale, l’un dit d’ « atteinte à l’environnement » (RCAE) et l’autre, dit de « préjudice écologique » inscrit dans le Code civil depuis 2017. Les assureurs doivent apporter des réponses efficaces à la couverture de risques dont la définition est fluctuante et aléatoire. D’autant plus que les garanties de responsabilité civile doivent répondre aux questions habituelles de la matière : responsabilité sans faute (objective) ou responsabilité pour faute, base réclamation ou base fait générateur, garantie dans le temps, limites et sous-limites. S’ajoutent à ces ambiguïtés les perspectives et problématiques du « principe de précaution » du « risque de développement » et surtout, notamment depuis la catastrophe « Erika », les questions de couverture du risque de réputation, voire de responsabilité civile des mandataires sociaux. Malgré ces difficultés, le risque reste moins « publicisé » que d’autres risques émergents (notamment le risque cyber) alors que les enjeux financiers peuvent être également considérables (réhabilitation des sols, indemnisation de multiples tiers lésés dont les ONG environnementales). En revanche, il pose moins de problèmes de tarification du fait d’une bonne connaissance des événements survenus : fréquence et coûts - fussent-ils croissants – sont répertoriés et une bonne mobilisation de la « capacité » dans le cadre du GIE Garpol (créé www.reglementation-assurance.com

135

www.reglementation-assurance.com ISBN 978-2-35474-313-0

9 782354 743130

RISQUES TECHNIQUES, AUDIT ET ASSURANCE

FONDAMENTAUX

LES

ASSURANCES DE DOMMAGES

RISQUES TECHNIQUES, AUDIT ET ASSURANCE

ASSURANCES DE DOMMAGES

Préface de Gilles Bénéplanc

Denis Legrand Franck Le Moine Patrick Thourot