Une tribune récente analyse l’impact de la crise du Covid-19 sur le secteur des assurances cyber. La généralisation du télétravail a en effet provoqué une vulnérabilité accrue des systèmes informatiques. Elle s’est traduite par une hausse conséquente des attaques cyber. Si, pour l’heure, cette augmentation n’a pas eu d’impact sur la sinistralité, cette crise pourrait rebattre les cartes du secteur.
Dans une tribune publiée dans Le monde du droit, Emmanuèle Lutfalla, avocate associée, Deborah Azerraf, avocate, Alice Decramer, avocate et Eva Biezunski, du cabinet Signature Litigation, reviennent sur les effets du Covid-19 sur les assurances cyber.
Le télétravail provoque une hausse des attaques cyber, alors que les entreprises sont peu assurées contre ce risque
La période a en effet été marquée par une recrudescence des attaques cyber. Cela s’explique essentiellement par un recours massif au télétravail. Ce dernier a en effet imposé une ouverture des réseaux, une utilisation, par les salariés, de leur propre matériel informatique, et une attention des DSI centrée sur les échanges à distance – parfois au détriment de la sécurité. Autant de failles potentielles et d’opportunités pour les pirates informatiques.
Or, il s’avère que les entreprises sont encore mal assurées contre les attaques cyber. Certes, 90% des sociétés du CAC40 disposent d’assurances de ce type. Mais ce chiffre tombe entre 20 et 25% pour le ETI. Et il chute à 5% pour les PME – pourtant les plus vulnérables aux attaques cyber.
Des limites dans l’offre d’assurance contre les attaques cyber
Pour autant, la recrudescence des attaques ne s’est pas encore traduite par une hausse de la sinistralité. Ce qui s’explique aisément : “Pour les TPE et PME, principales victimes des attaques cyber, il y a bien souvent un délai de plusieurs mois entre la survenance du sinistre cyber et sa déclaration auprès de l’assureur compte tenu de la difficulté de détection de certaines attaques et de la priorité donnée au maintien de la trésorerie”, détaillent les auteures de la tribune.
De plus, la crise du Covid-19 a mis en évidence certaines limites de l’offre d’assurance cyber. Les auteures notent, depuis les années 1990, “une augmentation des attaques, une insertion croissante de clauses d’exclusions du risque cyber dans les polices traditionnelles et un morcellement de la couverture du risque cyber autour de polices d’assurance traditionnelles (absence d’exclusion du risque cyber (« silent coverage ») et/ou souscription d’une extension) et de polices cyber spécifiques”.
Des contrats plus lisibles et plus adaptés
Dès lors, cette crise doit servir d’opportunité pour repenser les contrats d’assurance cyber. Les assureurs doivent d’abord améliorer la lisibilité de ces contrats, en particulier à destination des PME et ETI. Ils doivent aussi mettre en avant des polices spécifiques, adaptées à des périodes comme celle que nous venons de traverser. Incluant donc le risque de la pandémie et les conséquences du télétravail.
Les auteurs militent ainsi pour la promotion des polices cyber spécifiques. Des polices “sans exclusion au titre de la pandémie et disposant d’une couverture suffisamment large pour ne pas différencier entre les équipements professionnels et personnels”.
Ces polices doivent par ailleurs disposer “d’un volet assistance qui constitue un réel atout en période de crise (ex : déclarations CNIL devenues obligatoires depuis l’entrée en vigueur du RGPD)”. De quoi convaincre les entreprises de souscrire une assurance de ce type. Et de doper encore un secteur qui a déjà le vent dans le dos.