Les entreprises touchées vendredi par une panne informatique géante, comme par exemple les compagnies aériennes, ne sont pas forcément couvertes par leur assurance cyber et risquent de devoir mettre la main au portefeuille, préviennent des experts.
Comment les pannes informatiques sont-elles couvertes ?
L’incident, lié à une mise à jour défectueuse sur les systèmes Windows d’une solution informatique du groupe américain de cybersécurité CrowdStrike, déclenchée jeudi vers 19H00 GMT, ne semble pas résulter d’une cyberattaque, c’est-à-dire d’un acte volontairement malveillant.
L’assurance cyber, poussée ces dernières années par les grands assureurs mondiaux, n’a donc « pas vocation à s’appliquer », selon l’avocat au cabinet Derriennic Associés François-Pierre Lani, contacté par l’AFP.
Mais comme souvent dans l’assurance, les garanties dépendent de chaque contrat, et il faut regarder les contrats au cas par cas, soulignent plusieurs experts.
Les assurances cyber, qui couvrent en priorité les risques et les coûts associés à des attaques, via un rançongiciel par exemple, peuvent en effet comporter des options à même de faire revenir la panne informatique dans le champ des sinistres couverts.
Ces options « ne sont pas obligatoires et pas forcément largement souscrites par les entreprises », prévient Quentin Charluteau, avocat spécialiste du droit des assurances au cabinet anglo-saxon Simmons & Simmons.
Qu’est-ce qui est assuré ?
Les indemnisations pour les entreprises touchées peuvent être de plusieurs ordres: frais supplémentaires d’exploitation ou carrément indemnisation d’un manque à gagner.
Pour les compagnies aériennes dont les avions ont été cloués au sol, comme les américaines Delta, United et American Airlines ou la compagnie à bas coûts du groupe Air France-KLM, Transavia France, le premier niveau est la prise en charge de frais supplémentaires d’exploitation. Même chose pour l’opérateur ferroviaire britannique Govia Thameslink Railway, qui a fait état de potentielles annulations de dernière minute.
A lire: La panne informatique géante révèle l’hyper dépendance à quelques services de cloud
Dans ces cas-là, l’assurance couvre les frais de restauration ou de relogement des clients dont le voyage a été affecté par le retard ou l’annulation de trajets, notamment dans l’hémisphère nord où de nombreux vacanciers s’apprêtaient à partir ou à rentrer.
Si l’incident, en cours de correction, est néanmoins amené à se poursuivre, l’entreprise assurée peut également faire valoir une perte d’exploitation. L’assureur devra alors compenser la perte de chiffre d’affaires due à l’arrêt ou à la réduction de l’activité.
Combien ça va coûter ?
Les assurances cyber « sont des assurances relativement chères qui font souvent l’objet d’une franchise importante restant à la charge des entreprises », explique à l’AFP une source au sein d’un grand courtier international.
A titre indicatif, l’association française des gestionnaires de risques, l’Amrae, donne l’exemple d’une « grande entreprise » qui, pour un contrat d’assurance lui coûtant 950.000 euros de prime annuelle, est soumise à une franchise de 7,5 millions d’euros.
Les contrats comportent également des plafonds de garanties: au-dessus de cette somme fixée contractuellement, c’est de nouveau à l’entreprise de mettre la main à la poche.
Certains grands groupes souscrivent des garanties supérieures à 100 millions d’euros, toujours selon l’Amrae.
Mais ce montant « est très vite dépassé sur un incident de l’ampleur » d’une panne géante telle que celle de vendredi, observe un courtier.
D’autres recours possibles ?
Dès que la crise informatique survient, les sociétés touchées vont aussi commencer « à regarder ce qu’elles peuvent activer en termes contractuels » avec les prestataires informatiques défaillants, estime l’avocate Sonia Cissé, associée du cabinet d’avocat international Linklaters.
Les contrats entre les entreprises affectées et leur prestataire informatique défaillant peuvent comprendre des clauses de responsabilités en matière de continuité du service, prévoyant une indemnisation.
En l’occurrence, concernant la panne mondiale de cette semaine, il semble possible « d’aller chercher une indemnisation via un recours en responsabilité » visant CrowdStrike, explique à l’AFP Philippe Cotelle, administrateur de l’Amrae et président de sa commission cyber.
Les experts contactés vendredi par l’AFP sont tous d’accord sur un point: vu l’ampleur de la panne et ses potentielles conséquences financières, ils s’attendent à des recours en cascade.
Source: Agence France-Presse
