En septembre 2022, la Direction générale du Trésor recommandait (rapport) de créer une catégorie dédiée au risque cyber dans le Code des assurances. Elle faisait le constat que jusqu’alors, les contrats et garanties dits « cyber » n’étaient pas soumis à une catégorie identifiée dans la réglementation. Il en résultait comme conséquence majeure que si les assurances cyber pouvaient relever de la catégorie dommages aux biens, et/ou responsabilité civile, et/ou pertes pécuniaires, sans catégorisation claire, les reporting et la comptabilité des assureurs ne permettaient pas de retracer et de piloter spécifiquement l’activité de l’assurance cyber.
On rappellera à cet égard que dès le 1er janvier 2015 les Lloyds de Londres avaient mis en place une classification et un suivi spécifique aux garanties cyber et que Neotech avait préconisé en vain une approche similaire pour le marché français et la mise en place d’une branche adaptée. Voir https://assets.lloyds.com/assets/y4842/1/Y4842.pdf
De la création d’une nouvelle branche d’assurance dédiée aux risques cyber…
En décembre 2022, le Ministre de l’Économie, des finances et de la souveraineté industrielle et numérique ajoutait dans le Code des assurances (article 344-2) deux catégories ministérielles pour les garanties cyber :
- 32. Dommages aux biens consécutifs aux atteintes aux systèmes d’information et de communication.
- 33. Pertes pécuniaires consécutives aux mêmes atteintes.
On ne manquera pas de se poser la question de savoir pourquoi créer une catégorie cyber pour les dommages aux biens, une autre pour les pertes pécuniaires, mais pas de catégorie pour la responsabilité civile ? Sauf à y voir le signe que l’indemnisation des réclamations consécutives aux atteintes aux systèmes d’information et de communication relève de facto des garanties de responsabilité civile contractuelle et extracontractuelle standard.
L’autre question concerne les garanties silencieuses (silent cover), à savoir tous les risques cyber couverts sans avoir été identifiés et nommés par les assureurs, qui ne seront donc pas rattachées à ces nouvelles catégories.
Mais sans doute la réponse à ces deux questions se trouvera prochainement dans la création d’une branche dédiée à l’assurance des risques cyber exigeant un agrément spécifique.
Pour l’heure les nouvelles obligations incombant aux assureurs sont celles-ci :
- L’inventaire des engagements de l’assureur doit mentionner le type de garantie par référence aux catégories d’assurance, et donc distinguer désormais les garanties cyber 32 ou 33.
- Chaque année, des reporting doivent être établis pour ces nouvelles catégories d’assurance cyber : indemnisations versées, provisions, sinistres, recours.
- Les données comptables et statistiques exigées par l’Autorité de contrôle prudentiel et de résolution (ACPR) devront distinguer spécifiquement les éléments relatifs aux garanties cyber.
…à la consécration de l’assurabilité des rançongiciels
Dans le même temps, le 14 décembre 2022 avait lieu l’adoption définitive de la LOPMI comportant l’obligation pour l’assuré de déposer plainte sous 72h en cas de cyber-attaque dans le cadre du nouveau chapitre du Code des assurances sur les risques de cyberattaques.
Le 19 janvier 2023, le Conseil constitutionnel avait jugé partiellement non conforme la loi, à la suite d’une saisine par plus de soixante députés, mais sans toucher aux dispositions relatives à l’assurance cyber, et c’est le 24 janvier 2023 qu’a eu lieu la promulgation par le Président de la République de la LOI n° 2023-22 d’orientation et de programmation du ministère de l’intérieur, et publication au Journal officiel le lendemain, ce qui fait que le nouveau chapitre du Code des assurances entre en vigueur trois mois après la promulgation de la loi, soit le 24 avril 2023.
A noter que :
- cet article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle, et donc pas aux consommateurs,
- la Commission des lois de l’Assemblée nationale avait supprimé toute référence à la garantie des rançons et le texte final porte sur tout contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une cyber-attaque. La disparition du terme « rançon » n’interdit pour autant ni leur paiement ni leur assurabilité, avec un retour au statu quo antérieur.
On a vu que le nouveau chapitre du Code des assurances entrera en vigueur trois mois après la promulgation de la loi, soit le 24 avril 2023.
Dans cet intervalle, les assureurs :
- devront identifier dans chacun de leurs contrats l’ensemble des garanties susceptibles d’être concernées par l’obligation de dépôt de plainte
- pourront attirer l’attention de leurs assurés sur cette nouvelle règle d’ordre public et la sanction radicale en cas de défaut.
Cette dernière obligation pourra également peser sur les intermédiaires d’assurance au titre de leur devoir de conseils.
D’autant que se pose également la question sur la portée de cette obligation : est-elle étendue à toutes les garanties des assurances cyber autres que les rançongiciels ?
Reste l’épineuse question du point de départ du délai de 72h00 pour le dépôt de plainte.
Toutefois, compte tenu de la sanction de déchéance de garantie on pourra s’interroger sur l’articulation de cette obligation de dépôt de plainte sous soixante-douze heures avec les dispositions de l’article L113-2.
Aux termes de l’article L 113-2 du Code des Assurances « L’assuré est obligé :
[…] 4° De donner avis à l’assureur, dès qu’il en a eu connaissance et au plus tard dans le délai fixé par le contrat, de tout sinistre de nature à entraîner la garantie de l’assureur. Ce délai ne peut être inférieur à cinq jours ouvrés.
Ce délai minimal est ramené à deux jours ouvrés en cas de vol et à vingt-quatre heures en cas de mortalité du bétail.
Les délais ci-dessus peuvent être prolongés d’un commun accord entre les parties contractantes. »
On s’arrêtera en particulier sur la disposition suivante « Lorsqu’elle est prévue par une clause du contrat, la déchéance pour déclaration tardive au regard des délais prévus au 3° et au 4° ci-dessus ne peut être opposée à l’assuré que si l’assureur établit que le retard dans la déclaration lui a causé un préjudice. Elle ne peut également être opposée dans tous les cas où le retard est dû à un cas fortuit ou de force majeure. »
L’autre question sera celle de la computation du délai de soixante-douze heures. A l’inverse de l’article L113-2 du Code des Assurances il n’est pas question de jours ouvrés et on peut alors se demander si ce délai de soixante-douze heures correspond au délai retenu au sein de la directive NIS 2 qui prévoit que les entités soumises à ses dispositions devront transmettre une alerte dans les vingt-quatre heures suivant l’incident de sécurité, alerte qui devra être complétée par une notification d’incident dans les soixante-douze heures qui suivent la découverte de l’incident de sécurité.
Comment alors articuler la notion de découverte de l’incident de sécurité avec la notion de connaissance de l’atteinte par la victime ?
La directive NIS 2 ou SRI 2 en français, publiée le 27 décembre 2022 au Journal Officiel de l’Union Européenne, prévoit un délai de 21 mois pour que chaque Etat membre de l’UE transpose en droit national les différentes exigences réglementaires. NIS 2 rentrera donc en vigueur en France au deuxième semestre 2024, au plus tard. Certaines exigences seront d’application directe et d’autres devraient être soumises à un délai de mise en conformité.
Il y a donc encore de nombreuses questions à dénouer, ce qui n’étonnera pas les professionnels de l’assurance lorsque les nouveaux textes mélangent des notions de droit pénal, de droit des assurances et des dispositions normatives de sécurité des systèmes d’information.
Jean Laurent SANTONI (MIA – Consultant Risk Management – NeoTech Assurances / BU Spécialités)