Le Haut Comité Juridique de la Place Financière de Paris (HCJP) vient de publier son rapport sur « l’assurabilité des risques cyber », établi sur la base des conclusions d’un groupe de travail présidé par Pierre Minor.
La cybercriminalité constitue aujourd’hui l’une des menaces les plus importantes pour les entreprises, les institutions et les collectivités.
Le nombre d’attaques se multiplient d’année en année. Ainsi les cyberattaques contre les établissements de santé ont-elles doublé en 2021. 730 incidents ont été enregistrés contre 369 en 2020. La cybercriminalité revêt différentes formes, mais le cyber-rançonnage représente la menace la plus régulièrement observée.
La question de la place des assurances dans le dispositif de protection se pose en tant que technique de transfert d’un risque financier et en tant que soutien des entreprises face à cette menace croissante.
Mais l’assurance ne peut se concevoir que dans un cadre juridique clair permettant à la fois aux assureurs et aux assurés de bien cerner respectivement la portée de leurs engagements et la portée des couvertures souscrites.
Trois questions demeuraient à ce jour sans réponse :
1) Les sanctions administratives notamment pécuniaires peuvent-elles faire l’objet d’une couverture assurantielle ?
2) Le paiement des rançons et leurs indemnisations par des assurances sont-elles licites ?
3) Le risque de cyberguerre est-il en droit positif français un cas d’exclusion légal de l’assurance ?
Le rapport sur « l’assurabilité du risque cyber » prend position sur ces trois sujets:
- Il répond de façon négative à la première question s’agissant des sanctions administratives de nature pécuniaires, mais laisse entrevoir une possibilité d’assurer des mesures correctrices imposées par l’autorité compétente.
- Il se prononce de façon affirmative sur la licéité du paiement des rançons et la possibilité de leur couverture assurantielle, tout en rappelant les limites fixées par la règlementation relative au blanchiment d’argent et au financement du terrorisme.
- Il conclut enfin à la nécessité de clarifier la définition légale du risque de guerre pour y intégrer le risque de guerre cybernétique.