Silent cyber : l’ACPR invite les assureurs à poursuivre leurs efforts d’identification et de clarification
Après une enquête réalisée au cours de l’année 2023 auprès d’un échantillon d’organismes d’assurance sur leur gestion des garanties implicites couvrant le risque cyber, l’Autorité de contrôle prudentiel et de résolution (ACPR) adresse un communiqué le 11 mars 2024 dans lequel elle souligne les efforts réalisés par les assureurs et les invite à poursuivre le travail d’identification et de clarification.
En application de l’article L. 612-1, IV, du code monétaire et financier, l’ACPR peut porter à la connaissance du public toute information qu’elle estime nécessaire à l’accomplissement de ses missions et peut, dans ce cadre, procéder à la publication de communiqué de presse. Sans portée normative, ces communications ont pour objectifs d’informer le public et d’harmoniser les bonnes pratiques des organismes d’assurance (DG Trésor, Rapp. sur le développement de l’assurance du risque cyber, sept. 2022, p. 27). C’est en ce sens que l’ACPR a, le 11 mars 2024, publié un communiqué au sujet de la couverture implicite du risque cyber et sa gestion par les assureurs.
La couverture implicite du risque cyber ou silent cyber
Le cyber risque peut être couvert implicitement dans un contrat d’assurance qui, initialement, ne l’avait pas envisagé. Il s’agira des contrats avec des garanties traditionnelles couvrant le risque de responsabilité civile ou de dommage aux biens par exemple. Dans ce cas, la couverture du risque cyber n’est pas mentionnée directement dans le contrat mais n’est pas non plus expressément exclue des garanties (ACPR, Communiqué de presse, Paris, 12 nov. 2019). Ainsi, une police qui n’avait pas vocation à couvrir un tel risque pourrait finalement le faire au regard de la définition large de l’objet de la garantie et de l’absence d’exclusion applicable (P.-G. Marly et A. Valençon, L’assurance du risque cyber, Dalloz IP/IT 2019. 603 
).
Les préoccupations de l’ACPR au sujet de la couverture silencieuse du risque cyber sont loin d’être nouvelles. Après une première enquête réalisée sur l’année 2018 révélant l’existence de couvertures implicites, elle avait déjà alerté les assureurs, en 2019, à travers un communiqué de presse (ACPR, Communiqué de presse, 12 nov. 2019, préc.). En 2022, c’est l’autorité de contrôle européenne qui s’est également saisie de la question (Autorité européenne des assurances et des pensions professionnelles – AEAPP), et a rendu un rapport le 23 septembre 2022, dans lequel elle expose différentes recommandations sur le contrôle de l’exposition des assureurs et réassureurs au risque de la couverture silencieuse du risque cyber (AEAPP, Supervisory Statement on management of non-affirmative cyber exposures, 23 sept. 2022). L’ACPR en avait également profité pour publier un communiqué le même jour en reprenant les recommandations de l’autorité européenne, appuyant ainsi ses attentes (ACPR, communiqué de presse, 23 sept. 2022).
Dans le même temps, les craintes des autorités de contrôles se renforcent à mesure que le risque cyber gagne en ampleur, en fréquence et en gravité. Il s’agit du premier risque redouté par les entreprises, selon le baromètre des risques d’Allianz, juste avant le risque d’interruption d’activités et le risque de catastrophes naturelles (Allianz, risk barometer results appendix 2024, janv. 2024). Précisons également que le risque cyber est un risque systémique, selon l’avis rendu par Conseil économique, social et environnemental, susceptible de causer des impacts désastreux sur le système assurantiel (CESE, Climat, cyber, pandémie : le modèle assurantiel français mis au défi des risques systémiques, avis, avr. 2022). Dans ce contexte, les autorités de contrôle portent une attention particulière à la couverture implicite du risque cyber et à sa gestion par les assureurs dans leur portefeuille d’assurance.
Les risques liés à la couverture implicite du risque cyber
Les risques liés à la couverture implicite du risque cyber ne doivent pas être négligés tant du côté de l’assuré que de l’assureur. Pour l’assuré, il peut exister une véritable inadéquation entre ses attentes concernant la couverture estimée et la prestation de l’assureur en cas de réalisation d’un sinistre cyber (S. Porcher, L’intervention de l’AEAPP face au risque de couverture silencieuse du risque cyber, Dalloz actualité, 13 oct. 2022). Ainsi, par exemple, l’assuré peut se croire couvert pour un risque donné, alors qu’il ne le serait pas. Ce manque de clarté peut entraîner un désaccord entre les parties les conduisant devant le juge. Pour une illustration, en France, le contentieux relatif à la garantie des pertes d’exploitation durant les périodes de confinements en raison de la crise sanitaire de covid-19 démontre la nécessité de clarifier la rédaction des contrats d’assurance. Si le juge français n’a pas encore eu affaire au silent cyber, certains juges étrangers y ont été confrontés. À titre d’exemple, aux États-Unis, la Cour Suprême de l’Ohio a rendu une décision en 2022 dans laquelle elle rejette la thèse de la couverture implicite du risque cyber en raison de la lecture qu’elle opère du contrat, des termes qui y sont définis et de l’appréciation de la situation d’espèce (Ohio Supreme Court, 27 déc. 2022, EMOI Servs., L.L.C. v. Owners Ins. Co., n° 2022-Ohio-4649).
Pour l’assureur, le risque de couverture implicite d’un risque est avant tout financier. Les organismes qui n’auraient pas conscience de leur exposition au risque de couverture silencieuse du risque cyber peuvent subir des pertes importantes, voire compromettre la stabilité financière globale du secteur (ACPR, communiqué de presse, 23 sept. 2022, préc.). Dès 2019 l’ACPR invitait les assureurs à évaluer avec le plus de précision possible l’exposition du portefeuille d’assurance au risque de couverture silencieuse du risque cyber. Par ailleurs, si cela était pertinent, elle avait enjoint les organismes d’assurance et de réassurance à l’intégrer au rapport ORSA, ce qui a également été rappelé dans son communiqué de 2022. Il s’agit d’un processus interne de gestion et d’évaluation des risques et de solvabilité par l’organisme (C. assur., art. L. 354-2). Ainsi, l’organisme doit être en mesure d’identifier, de mesurer et de gérer les éléments de nature à avoir un impact sur sa solvabilité ou sur sa situation financière (ACPR, Pilier 2 : évaluation interne des risques et de solvabilité [own risk and solvency assesment – ORSA]).
Le travail continu d’identification et de clarification des assureurs
À travers le présent communiqué, l’ACPR souligne le travail déjà réalisé par les assureurs depuis la première enquête de 2018. Le mouvement d’identification et de clarification des contrats couvrant le risque cyber est bien avancé. Les assureurs ont notamment procédé à la définition et la mise en œuvre d’une stratégie d’exposition au risque cyber, la réalisation de la cartographie des expositions implicites par familles de contrats, la mise en place de démarches de modification des contrats concernés. Pour autant, ils ne doivent pas relâcher leurs efforts. L’ACPR précise qu’il s’agit d’un travail sur le long terme et que les démarches de modification des polices sont encore en cours.
Les recommandations de l’ACPR
Bien que le travail fourni par les organismes d’assurance soit déjà colossal, l’ACPR remarque que certains d’entre eux ne paraissent pas encore en mesure de quantifier exhaustivement le risque porté par les couvertures implicites du risque cyber des contrats qui ne sont pas dédiés.
L’autorité de contrôle insiste donc sur trois points : tout d’abord, elle recommande aux assureurs qui ne l’auraient pas encore fait d’identifier l’ensemble des couvertures cyber et, le cas échéant, de clarifier les clauses des contrats afin d’éliminer l’ambiguïté juridique qui pourrait exister ; ensuite, dans le cas où la couverture implicite du risque cyber serait identifiée, l’organisme doit vérifier que son maintien représente un risque maîtrisé ; enfin, elle recommande aux assureurs de procéder à une évaluation financière exhaustive des risques portés, y compris en cas d’évènement systémique, par l’ensemble des garanties cyber, qu’elles soient implicites ou explicites, accessoires ou principales, optionnelles ou non.
La corrélation avec le cadre légal de la cyberassurance en construction
Si, pendant longtemps, l’assurance du risque cyber restait de l’affaire de la pratique, peu à peu, le législateur s’est également saisi de ce sujet. La construction progressive d’un cadre légal de la cyberassurance encourage également les assureurs à identifier leur exposition au risque de couverture silencieuse du risque cyber et à clarifier leurs contrats.
Dorénavant, l’hypothèse de la garantie d’un sinistre cyber doit être envisagée à la lumière du nouvel article L. 12-10-1 du code des assurances. Cet article introduit dans le code des assurances, depuis la loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) du 24 janvier 2023, une disposition relative à l’assurance des risques de cyberattaques. Celle-ci subordonne l’indemnisation par un assureur des pertes et dommages causés par une atteinte à un système de traitement automatisé de données au dépôt de plainte de l’assuré dans les soixante-douze heures suivant la connaissance de ladite atteinte par la victime. Ainsi, l’assuré professionnel ne sera indemnisé, en cas de sinistre cyber, que s’il répond à ces exigences. L’entrée en vigueur d’une telle disposition (depuis le 24 avr. 2023) invite nécessairement les assureurs à identifier avec la plus grande précision les contrats susceptibles de couvrir le risque cyber et à procéder à une clarification tout en accompagnant les assurés.
Ce processus de clarification doit également être corrélé avec l’arrêté du 13 décembre 2022 qui ajoute deux nouvelles catégories d’opérations dédiées au risque cyber à l’article A. 344-2 du code des assurances :
- 32. dommages aux biens consécutifs aux atteintes aux systèmes d’information et de communication ;
- 33. pertes pécuniaires consécutives aux mêmes atteintes.
Auparavant, les garanties cyber étaient classées dans les catégories « dommages aux biens », « responsabilité civile » et « pertes pécuniaires » (H. Brandela, Assurance cyber : les dernières nouveautés », village-justice.com, 2 janv. 2023).
Désormais, les assureurs devront distinguer spécifiquement les éléments relatifs aux garanties cyber dans leurs données comptables.
ACPR, Communiqué de presse, 11 mars 2024
© Lefebvre Dalloz