Le cyber silencieux décrit un risque cybernétique « silencieux » ou soi-disant non affirmatif. Cela signifie que la couverture pour les dommages causés à la suite d’une cyberattaque n’est pas explicitement incluse ni exclue dans les polices d’assurance. Donc il restera silencieux à ce sujet. Cela peut poser problème en cas de dommage.

Ces dernières années, l’intérêt pour l’assurance cyber a augmenté. Selon la GDV, les petites et moyennes entreprises se protègent de plus en plus contre les menaces d’Internet. En 2020, 35 % des petites entreprises (2 à 10 millions d’euros de ventes) et 43 % des entreprises de taille moyenne (10 à 50 millions d’euros de ventes) ont déclaré avoir déjà une assurance cyber ou envisager de souscrire une assurance cyber.

Inversement, cela signifie que la plupart des entreprises n’ont pas encore reconnu les avantages de l’assurance cyber. Les cyberattaques représentent désormais le plus grand risque commercial mondial (selon le Baromètre des risques Allianz).

Actuellement, de nombreuses entreprises comptent sur des polices conventionnelles de propriété et de responsabilité civile, qui couvrent parfois aussi les cyberdégâts. Cependant, si ces dommages ne sont pas expressément inclus ou exclus, le risque de « cyber silencieux » existe.

Dans une étude de l’agence de notation Assekurata, 74 % des assureurs cyber interrogés ont déclaré que les couvertures conventionnelles de biens et de responsabilité comportent un risque significatif de « cyber silencieux » (étude : « La grande vague cyber arrive toujours ! », 2019).

Risques concrets du « cyber silencieux »

Quelles sont les conséquences si les risques cybernétiques ne sont pas ou seulement insuffisamment pris en compte dans une politique, c’est-à-dire s’ils sont des risques « silencieux » ? Dans ce cas, en cas de dommages dus à une cyberattaque, il n’est pas clair dans quelle mesure ces dommages sont couverts. Ou s’ils sont couverts du tout.

Le risque de « cybersécurité silencieuse » touche à la fois les compagnies d’assurance et les personnes assurées. Par exemple, Marsh, un courtier international en assurance industrielle et cabinet de conseil en risques, explique que les compagnies d’assurance avec une formulation non affirmative de la police s’exposent à un risque accru. Cela s’explique par le fait que le fait de ne pas prendre en compte les risques cybernétiques potentiels ne calcule pas le risque accru de l’assuré, ni n’évalue l’agrégation potentielle des risques dans son propre portefeuille.

Les assurés assument également un risque accru, car de nombreux contrats conventionnels de propriété et de responsabilité civile ne couvrent pas les dommages subis à la suite d’une cyberattaque. Cependant, pour que l’assuré reconnaisse ce risque accru, il doit être formulé explicitement. Sinon, certains assurés pensent avoir une couverture adéquate pour les risques cybernétiques, alors qu’ils ne l’ont pas.

De plus, les formulations non affirmatives peuvent être interprétées différemment par les compagnies d’assurance. En cas de dommage, cela peut entraîner des litiges juridiques.

Comment éviter les malentendus ?

Il est conseillé aux assurés de vérifier si les pertes cybernétiques sont explicitement prises en compte et couvertes par leurs polices existantes de biens et de responsabilité. Si ce n’est pas le cas, il est conseillé de le faire plus tard. Par exemple, avec une assurance cyber individuelle supplémentaire qui, en plus de la couverture des dommages financiers, offre également des services utiles tels qu’une assistance d’urgence 24h/24 et 7j/7 ou des mesures d’éducation et de formation préventives. Après tout, ces mesures aident à contenir les cyberattaques ou, dans le meilleur des cas, à les éviter complètement – et les meilleurs dégâts sont toujours ceux qui ne se produisent pas au départ.

Ce que dit l’expert de Persée

Milan Jarosch, Senior Channel Sales Manager et principalement responsable des courtiers en assurance, déclare :

« Le sujet du cyber silencieux est principalement une question d’assureur, car il existe des risques potentiels dans le portefeuille qui, d’une part, ne peuvent pas (encore) être évalués ou valablement calculés et, d’autre part, ne sont pas reflétés dans la prime.

Pour les clients, c’est globalement positif au début, car en cas de doute, ils bénéficient d’une couverture d’assurance pour quelque chose qu’ils ne connaissent généralement pas et pour lequel ils ne paient pas. Cela n’est négatif que si un client pense avoir « souscrit » une assurance cyber avec sa police d’assurance biens/responsabilité civile. Ensuite, bien sûr, il pourrait y avoir un réveil brutal, car le contenu de la couverture des polices d’assurance cyber courantes (souvent de loin) dépasse largement la couverture dans ce domaine. En pratique, cependant, il s’agit davantage d’un scénario théorique, car dans la plupart des cas, les clients ont été informés en conséquence par leur courtier superviseur et devraient donc être conscients de l’écart de couverture dans le secteur cyber. »