Ce contrat a pour objet la couverture de détournements de biens ou de valeurs subis par l’entreprise assurée. Plusieurs notions importantes et souvent restrictives interviennent dans le contrat Fraude.
Les faits générateurs couverts sont en principe l’escroquerie, l’abus de confiance, les faux et usages de faux, le vol et éventuellement les atteintes aux systèmes de traitement automatisé de données, tels que définis par le Code pénal.
Quant aux pertes financières garanties, elles sont constituées par une disparition de fonds ou de biens dont l’assuré est propriétaire ou, dans le cas des banques, gardien. Les pertes occasionnées aux tiers par l’assuré ne sont que très rarement garanties.
Par ailleurs, la fraude doit être découverte pendant la période de validité du contrat pour être prise en charge. Une garantie subséquente peut toutefois être prévue.
La notion de profit est également importante puisque la fraude ne sera garantie que si son auteur en a tiré un profit personnel.
Enfin, la qualité de l’auteur de la fraude est tout à fait centrale puisque les conditions de garantie varient selon que l’auteur est un salarié ou un tiers. Certains contrats sont même très restrictifs à cet égard puisqu’ils ne couvrent que les fraudes commises par un préposé avec intention de nuire. De plus, les fraudes commises par dirigeants de l’entreprise ou par des salariés récidivistes sont exclues.
Les polices Fraude peuvent donc couvrir une partie des cyber-risques, avec toutes les restrictions que nous venons d’évoquer. Généralement lorsque les cas de malveillance informatique sont visés, ils ne sont que partiellement garantis. Une attaque par déni de service par exemple, en l’absence de détournement d’argent, ne serait quoi qu’il en soit pas couverte. De même, si la garantie est restreinte aux fraudes commises par des préposés et qu’un cybercriminel parvient à s’introduire dans le système d’information de l’entreprise pour lui voler de l’argent, l’entreprise n’est pas couverte. De plus, le contrat exclut généralement les fraudes dont le mécanisme ne peut être démontré alors que les cybercriminels sont suffisamment ingénieux pour ne laisser aucune trace.
Une couverture partielle des cyber-risques est donc possible via les polices traditionnelles, principalement s’agissant des responsabilités encourues par l’entreprise en la matière, dans le cadre de la police d’assurance de Responsabilité Civile Générale. S’agissant du risque de dommages aux biens, en revanche, l’absence de garanties est plus manifeste. Comme nous l’avons constaté, l’une des limites des polices classiques réside en effet dans les modalités de mise en jeu des garanties, qui ne permettent pas de prendre en compte le caractère immatériel des atteintes redoutées dans le cadre des cyber-risques. Par ailleurs, le contenu des garanties classiques est souvent inadapté aux conséquences financières très spécifiques de ces risques.
Pour une entreprise fortement exposée, et l’on aurait tendance à dire qu’elles le sont toutes, les assurances habituelles ne suffisent manifestement pas à couvrir l’intégralité des cyber-risques. La justification des polices cyber semble donc toute trouvée, mais il convient d’analyser les contrats en question afin d’évaluer leur pertinence réelle.
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance