Après Melissa, I Love you, Anna Kournikova et Code Rouge, c’est au tour du virus Sircam de nous rappeler la permissivité des systèmes d’information d’entreprise. Vol de fichiers, détournement de fonds, piratage, etc., l’ouverture et la multiplication des réseaux ont fait naître une grande variété de risques informatiques. Confrontés à un paysage changeant, les assureurs font progressivement évoluer leurs prestations.A la préhistoire de l’assurance informatique, les tout premiers contrats couvraient le matériel contre les dommages classiques, de type dégât des eaux, vol, attentat ou bris de machine. Dans les années quatre-vingt, les contrats ont évolué vers le “tous-risques“, prenant en compte la reconstitution des données altérées ou détruites, les “frais supplémentaires” engagés par l’entreprise afin de poursuivre son activité et les “pertes d’exploitation” consécutives à une baisse du chiffre d’affaires.
Garantir les données, plus que le matériel
Depuis, la couverture des risques s’est très largement déplacée du matériel vers l’immatériel, et elle a allégrement sauté les frontières. Non seulement la valeur de remplacement ?” à neuf ou vétusté déduite ?” d’un poste de travail devient quantité négligeable, mais les solutions de secours généralisées permettent aussi de remplacer, ou de redémarrer, une configuration dans les heures suivant un sinistre. En revanche, la perte d’un fichier client peut se révéler autrement plus désastreuse pour une entreprise.Aujourd’hui, tout l’enjeu consiste à assurer l’information stockée et véhiculée par ces mêmes matériels, incluant les programmes et les données. Et ce dans leur définition juridique la plus large. Face à l’émergence des “nouveaux” risques liés aux NTIC, les sociétés d’assurances se sont mises, au tournant des années quatre-vingt-dix, à développer des produits offrant les mêmes garanties, mais en l’absence de dommages physiques. L’immatériel n’étant pas un concept fait pour rassurer les professionnels du risque, on ne trouve véritablement que deux acteurs français (AXA, AGF) ?” parmi d’autres, pour la plupart américains (ACE, AON, Chubb Executive Protection, Marsh, etc.) ?”, à proposer ce type de produits. Ces contrats assurent notamment la perte de disponibilité de ressources ?” altération de pages HTML, déni de service d’un site web, etc.?”; la perte d’intégrité ?”données égarées ou modifiées, entre autres ?”; les dommages accidentels ?” erreurs de manipulation, microcoupures électriques ?”; et les malversations ?” fraude, détournement de fonds, etc. Certains produits prévoient également une garantie de “rétablissement d’image” afin de mener une communication de crise à destination des clients, fournisseurs et partenaires. En revanche, la plupart des contrats ?” Data Guard, d’ACE Europe fait exception ?” excluent de leurs garanties les attaques virales. “Un virus représente un risque cumulatif et sériel, explique Irène Plichon, ingénieur en risques informatiques chez Axa Corporate Solutions. Contrairement aux catastrophes naturelles, qui n’atteignent qu’une zone géographique limitée, il a une portée planétaire.”Avec internet, facteur aggravant et accélérateur de risques, les méthodes d’évaluation ont également changé. “Lors d’un “bon” sinistre incendie, on dégage facilement la valeur de rachat du matériel et la perte d’exploitation sur le chiffre d’affaires, note Jean-Laurent Santoni, consultant en charge des risques net économie chez Marsh Conseil. Pour les dommages immatériels purs, l’assurance doit appréhender le caractère sensible de l’information, c’est-à-dire ce qui est impalpable.”
Un capital financier mis à la disposition de l’assuré
En l’absence d’évaluation précise du préjudice, l’assureur met à la disposition de l’assuré non pas une indemnité représentant le coût de remise en état du système d’information, mais un capital financier. Défini à la signature du contrat, ce capital couvre tous les frais engagés pour reconstituer les données, les frais additionnels, voire les pertes de revenus. L’assuré est maître de ce capital et de la façon de l’utiliser. Pour en bénéficier, il doit toutefois respecter un certain nombre de prérequis techniques et organisationnels ?” notamment des plans de sauvegarde, dont la fréquence est fonction du caractère vital de l’information. Directeur de la division développement des AGF, Emmanuel Gombault demande aussi à l’assuré de communiquer les changements majeurs intervenus au sein de son système informatique ou de son dispositif de protection. Ces réactualisations sont également faites à l’occasion des visites de prévention effectuées par les ingénieurs de l’assureur.Les contrats ne manquent pas d’ambiguïtés juridiques. Consultant indépendant, Daniel Lasserre conseille de bien définir le champ d’assurabilité. “S’agit-il des préjudices subis par l’entreprise, couverts par la police dommage, ou de ceux qu’elle peut occasionner à un tiers, relevant alors de sa responsabilité civile?” Au-delà des responsabilités civiles classiques, il existe des responsabilités professionnelles propres à certains types d'”activités à risque“, comme la conception de sites ou l’hébergement. A titre d’exemple, Loïc Jan, directeur du département nouvelles technologies d’AON Conseil & Courtage, a eu, l’an dernier, deux dossiers en responsabilité civile de gestionnaires de noms de domaine: “Ils avaient laissé passer la date de dépôt, et entre-temps des sociétés concurrentes s’étaient emparées des noms.” De son côté, Jean-François Forgeron, avocat au cabinet Bensoussan, rappelle que le périmètre de couverture “doit inclure les salariés, mais aussi l’ensemble des prestataires spécialisés”.
Un risque peu probable mais grave
Les hébergeurs et les infogérants dans le cadre d’un système d’information externalisé peuvent aussi être couverts. Directeur informatique de Saretec, cabinet d’expertise financière et technique, Alain Guède conseille, quant à lui, de bien formaliser par écrit les responsabilités de chaque partie. “Trop souvent, les conditions contractuelles restent au stade oral. Comme cette SSII qui n’a pas vu ses préconisations de profils de machines respectées. A la mise en exploitation, tout semblait fonctionner, jusqu’à la montée en puissance de la solution.” Ces précautions ne sont pas à prendre à la légère quand on sait que la résolution d’un sinistre prend cinq ans en moyenne! Qu’il s’agisse de l’assuré ou d’un tiers, il reste toujours au lésé à apporter la preuve du préjudice. “Nous demandons une preuve technique, et non juridique. Il n’est pas nécessaire de nous livrer le coupable, ironise Luc Vignancour, responsable souscription des risques informatiques pour ACE Europe. Le principe de garantie est acquis si la nature frauduleuse de l’introduction au système d’information est constatée: infraction logique, code cassé, etc.”En regard de l’exclusion de garanties et de la résolution des litiges, on peut légitimement se poser la question de l’intérêt de souscrire à ces nouveaux contrats. Selon Luc Vignancour, il consiste avant tout à transférer un risque qui a peu de probabilité de survenir, mais d’une gravité majeure. “Les sinistres sont peu nombreux, mais toujours très lourds.” Le ratio prime/sinistre serait au moins d’un facteur multiplicateur de un à dix! Un argument de poids.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.