Le marché canadien de l’assurance contre les cyberrisques est relativement jeune. L’idée de transférer les risques associés au monde de la cybernétique s’est imposée au tournant du siècle dernier alors que la crainte du bogue de l’an 2000 faisait rage. Ce marché, en pleine évolution, ne cesse de s’adapter aux nouvelles réalités comme l’intelligence artificielle, l’internet des objets, les cryptomonnaies ou les chaînes de blocs. D’abord l’apanage de grandes entreprises et organisations, l’assurance contre les cyberrisques est devenue accessible aux petites et moyennes entreprises pour lesquelles elle constitue dorénavant un élément essentiel dans la gestion des risques.
Bien que la plupart des assureurs offrent maintenant des produits d’assurance contre les cyberrisques plus ou moins complets, certains assureurs spécialisés sont en mesure d’offrir des contrats d’assurance autonomes comprenant les garanties les plus étendues.
Généralement, ces contrats d’assurance comprennent deux types de garanties : des garanties de responsabilité civile (third party) et des garanties pour les dommages subis par l’assuré (first party).
Les garanties de responsabilité civile protègent l’assuré en cas de réclamations de tiers alléguant avoir subi un dommage du fait de l’assuré. Les plus courantes sont :
- La responsabilité liée à la sécurité du réseau et à la protection de la vie privée: La perte ou la divulgation non autorisée de renseignements personnels, l’incapacité de tiers autorisés à accéder au système d’exploitation de l’assuré, la transmission d’un code malveillant, l’endommagement ou la perte de données de tiers sous le soin, garde et contrôle de l’assuré, le défaut de divulguer promptement une atteinte à la sécurité du réseau ou encore la responsabilité du fait d’autrui lorsque l’assuré confie des données à un tiers (ex. : hébergement);
- La responsabilité liée aux médias et à la publicité : Le préjudice personnel, la violation d’un droit d’auteur ou d’une autre forme de propriété intellectuelle ou tout autre acte répréhensible, relatifs aux objets publiés sur le site web de l’assuré.
Certains contrats prévoient également la couverture des frais de justice liés à une réclamation réglementaire, et des amendes ou pénalités relatives à l’industrie des cartes de paiements. Bien que la responsabilité liée à la sécurité du réseau se limite habituellement aux dommages pécuniaires, elle peut parfois être étendue au préjudice corporel ou au dommage matériel résultant d’une atteinte à la sécurité du réseau.
Il est admis que les garanties de responsabilité civile constituent le cœur des polices d’assurance cyberrisques toutefois, les diverses garanties pour les dommages subis par l’assuré qui s’y sont greffées au cours des dernières années n’en sont pas moins importantes. Elles répondent à des besoins de protection plus en plus essentiels (on n’a qu’à penser au fléau croissant des attaques par rançongiciel). Voici les plus courantes :
- Services et frais liés à une atteinte à la vie privée (ex. : frais d’expertise, frais de notification, surveillance du crédit);
- Protection des marques/ frais de gestion de crise;
- Menaces d’extorsion (ex.: rançongiciels);
- Pertes d’exploitation/ Frais supplémentaires;
- Protection des données et restauration de systèmes;
- Frais de récompense;
- Fraude d’ingénierie sociale;
- Fraude informatique;
- Transferts de fonds frauduleux.
On remarque une nette tendance à amalgamer des couvertures que l’on retrouvait traditionnellement dans des polices d’assurance « Biens » (ex. : Pertes d’exploitation) ou « Vol et détournement » (ex. : Fraude d’ingénierie sociale). Mais attention, même si les buts en matière de couverture sont similaires, les garanties ne sont pas déclenchées de la même façon dans une police d’assurance contre les cyberrisques. Nous examinerons ces différences dans notre prochaine chronique.