Avec l'entrée en vigueur des nouvelles règles de la SEC (Securities and Exchange Commission, l'organisme fédéral américain de réglementation et de contrôle des marchés financiers) en matière de cybersécurité, les entreprises publiques sont de plus en plus contraintes de mettre en œuvre une approche globale de l'évaluation des risques, d'atténuation des pertes et notification des incidents.

L'assurance cyber fait partie de la stratégie de gestion des risques des organisations. Toutefois, l'impact des nouvelles règles de la SEC sur le marché de l'assurance est incertain et les conditions du marché suggèrent que les entreprises devraient commencer à revoir leurs programmes pour se préparer aux nouvelles exigences de déclaration dans les rapports annuels pour les exercices fiscaux.

Les nouvelles règles

Les nouvelles règles couvrent les rapports actuels sur les incidents de cybersécurité et les rapports annuels sur la surveillance et la gestion des risques importants liés aux menaces cyber.

La règle relative à la déclaration des incidents impose la publication d'un formulaire spécifique. Il s'agit du formulaire 8-K dont l'objet est d'informer la SEC et les actionnaires de changement importants survenus dans l'entreprise dans les quatre jours ouvrables suivant la découverte d'un l'incident de cybersécurité important, à quelques exceptions près.

Cette règle exige la mise en place d'un plan d'analyse et de réponse aux menaces cyber qui doit intégrer les obligations de l'entreprise vis à vis de ses polices souscrites. La règle de déclaration annuelle peut engager la responsabilité des membres du conseil d'administration et des dirigeants de l'entreprise.

Le marché de l'assurance cyber

En mai 2023, l'agence de notation Fitch Ratings avait fait état d'une augmentation de plus de 7 milliards de dollars de primes d'assurance cyber directement souscrites en 2022, contre environ 2 milliards de dollars en 2018 avec une demande soutenue.

L'augmentation des besoins due à l'augmentation des incidents, ainsi que l'impact incertain des nouvelles règles de la SEC, force à la main aux entreprises publiques pour qu'elles se dotent de manière proactive de plans de gestion des risques cyber qui inclut la composante assurantielle.

Ces plans doivent tenir compte de la responsabilité de l'entreprise et de ses dirigeants en cas de violation de la vie privée, de fraude, voire de pertes directes dues au paiements des rançon.

Les nouvelles règles de la SEC soulèvent des préoccupations annexes en matière de pertes et de responsabilité, résultant de litiges potentiels sur la conformité et l'adéquation des informations communiquées.

Il faudra donc faire preuve d'une diligence accrue lors de la phase de souscription, par exemple concernant les points suivants :

La responsabilité des Directions : Les actions en justice liées à des produits dérivés et à des titres relèvent généralement du programme d'assurance des administrateurs et dirigeants d'une entreprise. Toutefois, les polices d'assurance des administrateurs et dirigeants peuvent contenir des clauses excluant la couverture des pertes résultant d'une attaque cyber.

D'autres peuvent inclure l'atteinte à la vie privée dans les clauses d'exclusion s'appliquant aux réclamations pour dommages corporels. Bien que certaines polices d'assurance cyber (sur le volet RC) contiennent une couverture limitée pour les Directions d'entreprise, la meilleure solution consiste à anticiper la manière dont ces nouveaux risques liés au non-respect des exigences de déclaration et de divulgation en matière de cyber-risques seront couverts.

Pertes directes : Les nouvelles règles ne définissent pas l'importance relative des cyber-risques, mais un incident peut entraîner de multiples pertes. Le plan de gestion des risques doit prendre en compte la perte ou la corruption de données, les dommages au SI et la perte de marge brute consécutive à un incident cyber. Les entreprises sont également encouragées à réfléchir aux conséquences d'un incident cyber chez un tiers, comme par exemple chez un fournisseur.

L'exactitude des informations : La publication de la stratégie de gouvernance et de gestion des risques en matière de cybersécurité souligne la nécessité d'une coordination au sein de l'entreprise au cours du processus de souscription afin de garantir la cohérence et l'exactitude des informations.

Ingénierie sociale : Malgré de meilleures procédures de sécurité, de la sensibilisation, les pertes dues à l'hameçonnage ou à des escroqueries similaires restent élevées. Les programmes d'assurance doivent être soigneusement revus pour couvrir ce type de fraude.

Réponse coordonnée : De nombreuses polices prévoient un panel d'experts (Enquête, Réponse à incident, Communication, Legal). Si l'entreprise a des fournisseurs privilégiés ou une équipe préexistante qui connaît bien l'infrastructure de cybersécurité de l'entreprise, l'approbation de ces tiers doit être prévue en phase de souscription.

Il ne s'agit là que d'exemples de questions qui devront être coordonnées au fur et à mesure que les programmes de gestion des risques seront adaptés. La souscription de couvertures va devenir probablement plus complexe à mesure que le marché de l'assurance cyber évoluera pour faire face à des environnements réglementaires changeants et au pilotage par les assureurs de leurs produits.

Force est de constater que les considérations outre Atlantique ne sont pas vraiment différentes de celles que nous avons ici. Le respect des exigences de plus en plus complexes en matière de divulgation et des obligations liées aux polices d'assurance nécessite un plan de gestion des risques réfléchi, une veille permanente pour suivre les évolutions (légales, réglementaires, techniques, assurantielles) et des avis de plus en plus pointus de la part de conseillers expérimentés.