Les acteurs de la cybersécurité sont ils eux-mêmes correctement protégés ?

L’exercice de toute activité professionnelle peut accidentellement causer des dommages à des tiers qui sont fondés à demander réparation. Ce risque s’assure par des garanties de responsabilité civile (RC) souscrites via un contrat spécifique ou englobées dans une multirisques.

Notre cabinet a spécifiquement étudié les contrats et garanties RC professionnelles que pourraient souscrire les ESN et SSII (toutes les activités du numérique prises au sens large).

Nous avons répertorié les conditions générales (CG) de plusieurs compagnies d’assurances de premier plan opérant en France. Les CG sont les recueils de plusieurs dizaines de pages annexés aux contrats qui ne sont généralement pas lus par les assurés, car très complexes : les fameuses petites lignes qui discréditent très souvent - à tort ou à raison - les assureurs.

Dans 100% des contrats étudiés, nous avons trouvé et/ou nous ont été signalées des clauses d’exclusion qui entraineraient une non prise en charge en cas de sinistre.

Ainsi, sont généralement exclus « les atteintes aux données et/ou systèmes informatiques » (autrement appelées les atteintes ou suites logiques) ; « les effets d’un virus informatique », « les dommages résultant de programmes informatiques utilisés par erreur ».

Exclure les événements d’origine cyber pour les professionnels de la tech est aussi dangereux que le serait d’exclure la responsabilité décennale des contrats couvrant les entreprises du BTP !

Rappelons que ces couvertures existent pour réparer les conséquences financières non intentionnelles d’erreurs, fautes, omissions professionnelles.

Devant l’enjeu du risque encouru, il est impératif d’auditer ces contrats - souvent mis en place lors de la création de l’entreprise - de les modifier lorsque cela est possible ou de changer d’opérateur.