Assurance et cybercriminalité

Le 27 juin dernier, plusieurs entreprises et structures gouvernementales étaient victimes d’une vague massive de cyberattaques, dont l’industriel français Saint-Gobain, qui a déclaré avoir isolé de ce fait ses systèmes informatiques pour protéger ses données. Ces attaques ne sont pas rares : elles augmentent chaque année (augmentation de 38% dans le monde et de 51% en France pour l’année 2015)1 et visent de plus en plus les entreprises privées qui collectent un nombre conséquent de données sur leurs clients. Dès lors, elles dépassent la sphère du monde des affaires et peuvent affecter les individus, constituant ainsi une menace pour la protection de la vie privée.

Si les entreprises ne semblent pas encore conscientes de la dangerosité de telles attaques (selon une étude du Lloyds, seulement 42% des entreprises déjà victimes de cybercriminalité estiment qu’elles pourraient être de nouveau victimes de ces attaques, alors que 92% d’entre elles en ont déjà été victimes 2), la menace n’est pas pour autant factice. Dans un monde ou une entreprise ne peut pas fonctionner sans système informatique, ou les données stockées peuvent valoir des millions et faire l’objet de rançons, et ou le mot « cyberguerre » est entré dans le jargon militaire, une couverture de ces attaques par les assureurs s’impose afin de protéger les entreprises en cas de réalisation de sinistres. Seulement, trop souvent, ces attaques ne pouvant faire l’étude de calculs actuariels précis et les sinistres engendrant des coûts trop importants pour un simple assureur, la question de la réassurance par l’Etat (au même titre que les risques de terrorisme aux Etats-Unis par exemple) se pose.

I. Qu’est-ce que la cybercriminalité ?

La cybercriminalité peut prendre des formes extrêmement diverses selon les cibles. On la désigne généralement comme l’ensemble des infractions pénales qui sont commises via les réseaux informatiques, et notamment sur le réseau Internet.

Il convient de distinguer deux formes de cyberattaques :
– Les infractions liées aux systèmes d’information et au système des traitements automatisés de données (« STAD »).
– Les infractions liées aux formes de criminalité traditionnelle : usages frauduleux de cartes de crédit en ligne, phishing, menaces sur les réseaux sociaux…

Les entreprises sont davantage concernées par la première forme de cybercriminalité (attention : cela ne veut pas dire pour autant qu’elles sont exempts de cybercriminalité traditionnelle).

1. Une protection des systèmes de traitement automatique des données (STAD) par le droit français :

En France, la protection des « STAD » est passée par la création d’une infraction spécifique aux actes non autorisés violant la confidentialité, l’intégrité et la disponibilité de ces derniers, entrée en vigueur depuis la loi Godfrain de 1998 et figurant aux articles 323-1 à 323-5 du Code pénal.

Ainsi, l’article 323-1 du Code Pénal, par exemple, incrimine l’accès non-autorisé à un STAD, même si les données n’ont pas été modifiées : «Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 € d’amende.
Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 100 000 € d’amende
».

L’article 323-3, alinéa 1 du Code pénal quant à lui protège les données stockées contre toute modification, même quand l’accès à celles-ci est autorisé :
« Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende.»
Cette infraction couvre le cas ou une personne qui était autorisée à accéder aux STAD (comme un employé) en a profité pour modifier les données, pour introduire par exemple de fausses informations dans le but de tromper les utilisateurs

2. Tentative de sensibilisation et d’harmonisation par la Convention de Budapest :

La Convention de Budapest, ou convention sur la cybercriminalité, rédigée par le Conseil de l’Europe le 23 novembre 2001, a pour but affiché de sensibiliser les états signataires à la problématique de la cybercriminalité. Elle exige notamment que des mesures de droit matériel soient prises afin de lutter contre la cybercriminalité au niveau du droit national de chacun des Etats, mais également que des mesures procédurales soient introduites, cette fois au niveau international, pour permettre une meilleure identification des sources de la cybercriminalité ainsi qu’une meilleure coopération entre les juridictions. En outre, elle a prévu l’organisation de consultations régulières des Etats signataires, et ce, en prévoyant au moins une réunion annuelle du Comité de la Convention. Il est à noter que figurent parmi les signataires des Etats non européens, tels que les Etats-Unis, l’Australie ou encore le Japon.

II. Comment assurer la cybercriminalité ?

Le marché de la cyber-assurance, s’il existe, n’est pas sans poser de difficultés pour les assureurs.

En effet, une première difficulté consiste à calculer le risque : ce n’est un secret pour personne que les assureurs appréhendent les risques qu’ils assurent grâce à des calculs actuariels qui permettent de déterminer la probabilité de réalisation de ces mêmes risques, à tel point que certains auteurs se sont demandés si le contrat d’assurance était réellement aléatoire d’un point de vue juridique.

Le problème avec la cybercriminalité, c’est qu’elle est difficile à calculer. Et à la différence du risque terroriste ou catastrophe naturelle qui posent également problème pour les calculs actuariels, la cybercriminalité n’a pas de limite géographique. A cet égard, une étude réalisée par le réassureur Swiss Re note que « Les assureurs et vendeurs de solutions analytiques essaient de développer différents modèles y compris déterministes et probabilistes pour évaluer les pertes liées à ces risques. L’expérience d’autres dangers, comme les catastrophes naturelles, permet d’espérer que ces modèles continueront de s’améliorer à mesure que les données deviendront disponibles ».

Une deuxième difficulté concerne le coût de la réalisation des cyber-risques, qui est trop important pour que les bilans d’un seul assureur puissent l’absorber. Et au-delà de l’importance des coûts, ces derniers ne peuvent souvent pas être déterminés ou déterminables à l’avance en raison de plusieurs facteurs : manque d’historique sur les sinistres survenus et leurs impacts financiers, évolution constante des nouvelles technologies et des formes de cyber-attaques… Dès lors, quel prix proposer aux clients qui souhaitent souscrire à une police cyber-risque ?

Une solution à ce problème pourrait se trouver au sein de l’Etat, qui pourrait assurer lui-même les cyber-attaques d’une certaine ampleur par le biais de fonds de garantie, ou alors se porter réassureur pour ce type de risques et à partir d’un certain montant, à l’instar du « Terrorism Risk Insurance Act » aux Etats Unis qui a permis à l’Etat américain de se porter réassureur pour le risque terroriste. Si la création d’un fonds de garantie ou d’un mécanisme de réassurance par l’Etat n’est pas encore à jour, la multiplicité des attaques et leurs intensités pourraient bien changer la donne.

1 et 2: https://www.lesechos.fr/idees-debats/cercle/cercle-168128-le-marche-de-la-cyber-assurance-risque-pour-les-assureurs-2075814.php#jFJbLGMY0IiHF2Ii.99

Rosa YILIGIN
Master 2 droit des assurances- Institut des Assurances de Paris 1

Sources :
« La cybercriminalité- un moyen de fraude sophistiqué » : Uwe Rasmussen, avocat chez August & Debouzy.

http://www.argusdelassurance.com/produits-services/cyber-risques-les-assureurs-loin-de-couvrir-le-marche.116361

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.