Couverture des dommages directs
Ils couvrent les pertes encourus directement par l’assuré. Nous citons à titre d’exemples :
- Les coûts liés à l’enquête sur la cause d’une violation de données ou d’un incident de sécurité,
- Les coûts liés à la restauration des services ou des données,
- Les coûts de notification des personnes concernées,
- Les services de surveillance des comptes bancaires ainsi que le recours à des spécialistes de communication et de médias si nécessaire,
- Les paiements d’extorsion et de rançon,
- Les pertes d’exploitation éventuelles
Les assureurs affectent souvent des sous-limites à des catégories de pertes. Par exemple, certaines polices n’adressent que quelques catégories, telles que la compromission des données personnelles et les attaques informatiques.
La compromission des données personnelles concerne la « perte, le vol, la publication accidentelle d’informations et des identifications de personnes physiques ou des données personnelles sensibles ».
Une attaque informatique se rapporte à une opération non autorisée, à une infiltration par un logiciel malveillant ou à un déni de service sur tout ordinateur ou matériel électronique propre ou loué et exploité par l’assuré.
Cependant, certains assureurs différencient plus de catégories de couvertures, chacune ayant ses propres sous-limites.
| Catégorie | Garantie |
| Compromission de données | Fournit une couverture pour les dépenses résultant d’une compromission de données personnelles incluant l’identification des personnes affectées. Les personnes affectées peuvent être des clients, des employés … |
| Récupération des données et restauration des identités | Fournit une couverture pour la récupération et la restauration des données suite à une dégradation couverte par la police au cours de la période d’assurance |
| Attaque informatique | Fournit une couverture pour les dépenses résultant d’une attaque informatique |
| Cyber extorsion | Couvre les frais d’enquête dans le cadre d’une menace d’extorsion et éventuellement tout montant payé par l’assuré en réponse à la menace si la législation du pays le permet |
Couverture des dommages aux tiers
La couverture des dommages aux tiers, déclenchée par le mécanisme juridique de la responsabilité civile, prend en charge les frais de défense en cas de litiges avec des organismes publics ou privés et les amendes éventuelles.
De manière identique au « Dommages propres », les couvertures pour « Dommages aux tiers » peuvent être segmentés avec des tarifs, des franchises et des limites distinctes selon des sous-catégories :
| Responsabilités | Garantie |
| Compromission de données | Prévoit une couverture pour les frais de défense et de règlement dans l’éventualité où des personnes ou une entité gouvernementale attaqueraient l’assuré en raison d’une compromission des données personnelles à leur disposition |
| Sécurité de réseau | Prévoit une couverture pour les frais de défense dans le cas où un tiers demandeur poursuit l’assuré pour les raisons suivantes :
• La violation d’informations commerciales tierces • La propagation ou le transfert involontaire de logiciels malveillants • L’implication involontaire d’une attaque par déni de service • L’impossibilité pour un utilisateur tiers autorisé d’accéder au système informatique de l’assuré |
| Média | Fournit une couverture pour les frais de défense dans le cas où un tiers poursuivrait l’assuré pour une diffamation involontaire, une violation du droit à la vie privée, une atteinte à sa marque ou une violation du droit d’auteur ou de propriété intellectuelle |
Quelques variations de couvertures entre les polices
Outre le corpus commun susmentionné, nous constatons des variantes entre les différentes offres du marché. Certaines couvertures ne sont présentes que sur des offres spécifiques. Nous en citerons une partie ci-dessous :
| Frais couverts | Description |
| Frais d’investigation | Les dépenses déployées pour l’investigation judiciaire, l’examen des systèmes informatiques pour tracer un logiciel ou activité malveillante. Elles peuvent inclure les coûts des services d’experts informatiques. Parfois, elles se limitent à celles spécifiquement utilisées en cas de divulgation de informations personnelles identifiables. |
| Notifications et services supplémentaires aux personnes impactées
|
Prévoit de couvrir les frais d’identification, de notification des personnes impactées, la surveillance de leurs comptes bancaires, la résolution des cas de fraudes éventuels. Il existe des offres qui excluaient de ce cadre les employés. |
| Frais de gestion de sinistre, pénalités et frais de défense | Cette clause prévoit la couverture des frais liés aux pénalités et les coûts de défense. Parfois on trouve des précisions sur les frais engagés pour restaurer le capital confiance (e-réputation) ou des frais de procès pour les droits d’auteur ou propriété intellectuelle |
Enfin, il est à noter que des clauses constituent un marqueur sur le niveau d’appétit au risque des assureurs porteurs des offres étudiées :
- Environ 20% des polices examinées excluaient les dépenses liées à la restauration des données, à la reconstitution des données et à la restauration des systèmes
- Environ 15% couvrent des attaques liées à des actes de terrorisme ou de guerre si elles étaient perpétrées par voies électronique / informatique
- Environ 10% prennent en charge les coûts liés à des systèmes de substitution pour accélérer la reprise de l’activité
