En cas de dommages matériels ou immatériels causés à des clients, les entreprises peuvent utiliser une responsabilité civile, sauf pour une cyber-attaque. C’est l’enseignement du tribunal de New-York.
Focus sur une décision de justice qui pourrait faire trembler les entreprises et réjouir les assureurs !
Cyber-attaque : l’exclusion des responsabilités civiles
Premier semestre 2014, le tribunal de New York a rejeté la demande de Sony de faire jouer sa responsabilité civile pour indemniser la cyber-attaque subie en 2011 pour cause de défaut de couverture dédiée.
Même si la procédure est encore en cours (Sony devrait faire appel de cette décision) et a eu lieu outre-Atlantique, il serait étonnant de ne pas voir de décisions similaires dans nos tribunaux.
Le résultat de ce procès (qui s’oriente vers une victoire des assureurs) aura un fort impact sur le marché de la cyber-assurance. Il va inciter les entreprises à se tourner vers les cyber-assurances et délaisser les polices plus générales.
Mais face à une menace qui peut prendre de multiples formes, la cyber-assurance ne doit pas être utilisée comme une solution miracle pour se protéger.
Cyber-assurance : une couverture miracle contre toutes les cyber-attaques ?
Une cyber-attaque peut avoir des impacts très diversifiés : pertes d’exploitation, frais d’extorsion, impacts d’images, frais de justice, frais d’expertise technique, etc. Cette caractéristique rend difficile une photographie précise de la couverture nécessaire.
Pour y faire face, l’entreprise doit identifier de façon précise son exposition. Celle-ci peut s’évaluer à l’aide d’une analyse des risques permettant d’identifier les risques résiduels à couvrir, les polices déjà souscrites et la capacité d’absorption des impacts.
Ce travail d’expertise amont est indispensable. D’autant qu’avec l’essor des nouvelles technologies et des appareils de plus en plus connectés, les failles à couvrir seront toujours plus nombreuses et complexes.