Sécurité informatique: Quelques types d’assurances IT
André Henri Kuhn
André Henri Kuhn, MLaw/MBA, collaborateur juridique (Die Advokatur Sury AG) et chargé de cours à la Haute école de Lucerne (HSLU) et à la Haute école spécialisée à distance suisse (FFHS).
Ursula Sury
Ursula Sury, RA lic. Iur, avocate et propriétaire de Die Advokatur Sury AG. Vice-directrice de la Haute école de Lucerne - Informatique à Rotkreuz et responsable du domaine de la formation continue.
Aides de travail appropriées
1. Culture du risque ou sécurité informatique?
On envisage de s’assurer lorsque les conséquences financières d'un risque ne peuvent pas être évitées, réduites ou transférées à d'autres. Dans ce cas, l'entreprise ou le particulier transfère, par le biais d'un contrat d'assurance, les conséquences financières (plus ou moins importantes et dans des conditions définies contractuellement) à une assurance. La sécurité informatique, elle aussi, peut être couverte.
Un risque est un événement indésirable, imprévisible et susceptible d’entraîner une perte. Il convient également de définir sa propre attitude face au risque: certaines personnes ont une aversion aux risques, d’autre aiment en prendre. L'étendue de la couverture d'assurance varie en fonction de l'appétit de chacun. Personne n’aime généralement prendre trop de risques en matière de sécurité informatique, il y a généralement trop à perdre.
2. Différents types d’assurance
En principe, on distingue les assurances responsabilité civile, qui couvrent les dommages causés par un tiers, et les assurances qui couvrent les dommages subis par la personne lésée elle-même.
Si l'on fait une distinction selon le type de bien juridique concerné, on constate alors qu’il existe des assurances contre les dommages corporels, des assurances contre les dommages matériels et d’autres contre les dommages pécuniaires.
Il est également possible de faire une distinction selon les rapports juridiques assurés: les prétentions contractuelles ou extracontractuelles sont-elles assurées?
On peut pareillement souscrire une assurance couvrant certains dommages inhérents à la sphère privée ou à la sphère professionnelle.
On détermine aussi l’objet qui est assuré (chien/voiture).
Le risque concerné détermine à son tour quel événement (risque) indésirable est assuré (p. ex. risque de vol, en cas de faille dans la sécurité informatique).
Les assurances peuvent en outre se distinguer par la couverture géographique (par exemple, uniquement sur le territoire national) et temporelle qu’elles offrent.
Lorsque l’on choisit un produit d'assurance spécifique, il convient donc de se demander lesquels des critères mentionnés ci-dessus l'assurance souhaitée doit couvrir.
Recommandations de produits
3. Types d'assurances spécifiques au secteur informatique (assurances IT)
3.1 Assurance « Hardware »
L'assurance « Hardware » est une assurance matérielle qui couvre ce qui n’est pas déjà couvert par l’assurance responsabilité civile. Les dommages causés au matériel, par exemple dus à un incendie ou à une inondation, sont couverts par l’assurance responsabilité civile.
Il est important de bien comprendre les conditions de cette assurance. Les dommages indirects, les potentielles pertes financières subséquentes, ne sont pas couverts par une telle assurance (p. ex. suite à une perte de données). C’est exactement le type d’assurance qui ne couvre pas les dommages dus à une sécurité informatique déficiente.
3.2 Responsabilité en matière de bonne exécution du contrat
Les assurances qui indemnisent les dommages en cas de mauvaise exécution du contrat se rencontrent surtout dans le domaine de la production de logiciels. Il convient d'être particulièrement attentif au délai de carence de tels produits d'assurance. Dans de nombreux cas, cette assurance n'est valable que si le logiciel a été utilisé sans défaut pendant une période déterminée après sa réception. Dans d'autres cas, ce n'est pas tant le délai de carence qui peut poser problème, mais plutôt le fait que l'assureur refuse ses prestations si le preneur d'assurance n'a pas respecté ses obligations légales ou contractuelles et que la faute lui est imputable.
3.3 Cyber-assurance et assurance contre les pertes d’exploitation
Pour autant que l'on sache, les pertes d'exploitation causées par des problèmes informatiques (sécurité informatique insuffisante ou autres) ne peuvent être assurées que de manière très limitée en Suisse.
Les produits qui couvrent le domaine du e-business sont les plus courants sur le marché. Les dommages aux données personnelles causés par une cyber-attaque peuvent par exemple être couverts. Dans ce contexte également, il convient de vérifier précisément quel comportement est couvert par l'assurance (par exemple, les comportements intentionnels ou les négligences graves ne le sont souvent pas). Il est donc recommandé de lire attentivement ce qui apparaît en petits caractères au bas de la page ainsi que les conditions générales d'assurance.
Les cyber-assurances peuvent être divisées en plusieurs sous-catégories: il existe des assurances qui couvrent les dommages personnels et de responsabilité civile ou qui prennent en charge la gestion de crise en cas d'atteinte à la réputation. Dans ce contexte également, le problème est le suivant: être assuré de manière congrue, à savoir ni trop, ni trop peu.
4. Gestion des polices et des contrats d'assurance IT
Dans la pratique, on contracte bien souvent de nombreuses assurances. Il arrive quelquefois que des dommages causés au matériel informatique, par exemple, soient déjà couverts par une assurance immobilière ou une assurance d'entreprise. Lorsque l'étendue de l'assurance se voie couverte par plusieurs produits d'assurance, il est recommandé de garder une vue d'ensemble des risques déjà couverts par les autres assurances existantes. Cela permet de voir, lors de la conclusion d'une nouvelle assurance, du renouvellement de polices existantes ou lors de l’introduction de nouvelles clauses, s'il existe des doublons au niveau de certaines couvertures.
En cas de dommage éventuel, les assurances remboursent au maximum le dommage réel subi, même si l’on est surassuré. En cas de surassurance, double ou multiple, les assurances coordonnent les prestations entre elles. Selon l’appétit que l’on a pour le risque et lorsque l’on examine de plus près les assurances déjà existantes, couvrir un risque non encore couvert (et pas du tout « critique ») n’en vaut généralement pas la peine: la nouvelle police couvrira, dans certaines circonstances, des risques qui sont déjà en très grande partie couverts par des polices existantes.
5. En guise de conclusion
Les assurances IT visent à pallier les inconvénients financiers résultant de la réalisation de risques d'une assurance conclue précisément pour leur survenance. Parmi le grand choix d'assurances proposées, il est important de choisir celle qui couvre correctement ses propres besoins en matière d'assurance. Les assureurs décrivent leurs produits d’assurance et leur catalogue de prestations de manière très diverse. Il est donc important, comme pour toute assurance, de lire attentivement les conditions d'assurance et de vérifier dans quelle mesure des restrictions et des délais de carence ont été prévus.
