Beruflich Dokumente
Kultur Dokumente
com
lpoque,
Compagnies
nombreuses
qui
assurent
sont
les
les
risques
matriels.
Aujourdhui, linformatique ne se rduit plus au matriel (hardware). En effet, au fil des
annes, loutil devient de plus en plus rapide. Paralllement, les prix et les volumes diminuent
constamment. Consquence, linformatique tend se gnraliser dans la socit.
Dans le monde de lentreprise, linformatique aura pris une telle ampleur quaujourdhui le
degr de dpendance est fort avec tous les risques qui en dcoule.
Jean Marc Lamre2 estime que si on parlait de risques informatiques il y a quelques
annes, aujourdhui, il y a lieu de parler de risques lis aux systmes dinformation (et de
communication) en gnral car linformatique est de plus en plus rpartie, intgre,
diversifie.
Dessin de Gautier, Quinze ans de jurisprudence , Temps Rel, 27 juin 1983, p.37.
Dlgu gnral, Apsad/FFSA
Donnes Informatises (EDI), par exemple, stend tous les secteurs conomiques et ce
depuis une quinzaine dannes dj. Cela a commenc par la dmatrialisation de la Bourse
(1985) et mise en place du systme interbancaire de tlcompensation en 1988. Lassurance a
abord cette profonde mutation en 1999, ce sont dsormais la plupart des entreprises qui
sengagent dans lEDI. Certains mtiers rclament la transmission de nombreux documents.
Les donnes professionnelles doivent tre normalises pour faire face lextrme
htrognit des informations transporter. Une fois structures dans un langage commun
normalis, il convient de sinterroger sur leur transfert. De multiples procds techniques sont
la disposition de tout un chacun pour protger cet EDI, seulement, la faille nest pas exclue
dautant que certains hackers (voire crackers) en sont lafft.
Les assureurs se sont proccups de ces risques et proposent une assurance spcifique EDI
couvrant les risques directs et indirects supports par lentreprise assure, ainsi que les
prjudices causs au tiers.
Le risque zro relve de lutopie. La mise en place dun systme de scurit infaillible se
rvlerait plus onreux que la fraude. Certaines entreprises souscrivent plusieurs assurances
pour couvrir le mme risque mais cela nest pas sans danger (cf. infra.)
Pour ce qui est du dveloppement de la culture du risque au sein de lentreprise, cela est
variable selon la taille de lentreprise, mais en tout tat de cause, toutes les structures quelle
que soit leurs tailles dpendent aujourdhui de leur systme dinformation.
Les grandes entreprises ont les capacits financires dinvestir dans la scurit informatique.
Elles ont comme ressources, des ingnieurs, techniciens, informaticiens, administrateurs de
rseaux En outre, lassurance couvrira les alas.
Les Petites et Moyennes Entreprises (PME) galement concernes nont pas forcment un
budget spcifique allouer la scurit informatique. Pourtant, certaines Compagnies
dassurance ( lexemple dACE Europe) accompagnent ces entits dans la protection de leur
informatique en leur proposant de matriser lvaluation des vulnrabilits des systmes en
place et de mettre en uvre des mesures de prvention et un programme dassurances
adaptes.
Dataguard PME dACE Europe par exemple concerne les entreprises et industries ralisant
un chiffre daffaires de moins de 15 millions dEuros par an.
Les Trs Petites Entreprises (TPE) ont aussi des besoins spcifiques en matire dassurance
mais les moyens financiers sont modestes sans pour autant croire que les risques quelles
encourent soient moins importants que ceux dentreprises disposant de plus vastes ressources.
Voil donc un nouveau march en perspective pour les Compagnies dassurance sachant que
prs de 150 000 entreprises en moyenne se crent tous les ans en France.
Lanne 2002 a t marque par deux tendances : une acclration de louverture des
systmes dinformation et une forte augmentation des infections par virus. Ces tendances sont
amenes samplifier au cours des annes venir.
Sans rentrer dans le dtail de ce bilan nous constatons que 64 % des entreprises interroges
nont pas toujours dfini de politique de scurit des systmes dinformation. Cependant, il y
a une certaine volont des entreprises de dvelopper une culture de la scurit en interne :
87 % dentre elles sensibilisent et forment leur personnel.
Nombreuses sont les entreprises infectes par virus (26,3%). Cela a un impact financier. Elles
doivent procder une rparation ou remplacement du matriel informatique endommag ou
manquant. Le cot de reconstitution des donnes, logiciels ou procdures endommages ou
perdues nest pas ngliger pas plus dailleurs que les postes dexploitation subsquentes.
Dans 86 % des cas, limpact financier des sinistres est rsorb par la trsorerie courante. Deux
raisons cela, la faiblesse dimpact ou dfaut dassurance. Les risques prvisibles lavenir
sont principalement les virus et infections informatiques et accidents dorigine interne. Ceci
nous amne tayer ce que sont rellement ces risques informatiques.
Pour pallier une multiplication des sinistres informatiques et de facto leur impact, la
dimension assurantielle implique une typologie des risques informatiques approprie.
Depuis les annes 1980, la physionomie des risques informatiques a volu et les assureurs
sen sont inquits. A la fin des annes 1990, les risques inhrents au passage de lan 2000
taient grands ou du moins considrs comme tels. Les Socits de Services en Ingnierie
Informatique (SSII) ont su l dceler cette exceptionnelle manne daffaires. Seulement, elles
furent en premire ligne face aux rclamations dutilisateurs, victimes de dysfonctionnements
imputables au codage des dates. La Fdration Franaise des Socits dAssurance (FFSA),
ds mars 1998 martela ses assurs que les risques lis au passage lan 2000 tant connus,
ainsi, ils ne prsentaient pas a priori le caractre alatoire requis pour tre assurables.
Suite cette recommandation , quelques Compagnies dassurance ont dnonc certaines
polices. Finalement, le contentieux li au bogue na pas t abondant. Nanmoins,
laffaire caractristique relever, cest celle qui a oppos SA Royal et Sunalliance contre la
SA Trsis et IPIB4. En effet, aprs que les socits Trsis et IPIB aient souscrit (le 19 Juillet
1996) auprs de la compagnie Royal et Sunalliance une police dassurance responsabilit
civile professionnelle pour leurs activits de conception, vente et installation de matriels et
logiciels informatiques, le 17 octobre 1999, la Compagnie dassurance leur a soumis un
avenant excluant du bnfice de sa garantie, le risque li au passage lan 2000 des systmes
informatiques. Les assurs ont refus la modification propose, le risque tant, selon elles,
parfaitement connu lors de sa souscription. A dfaut de pouvoir se tourner vers une autre
Compagnie acceptant de couvrir les risques de leur activit, les SSII en cause ont alors
assign lassureur sur le fondement de larticle 873 du NCPC devant le juge des rfrs du
Tribunal de commerce de Paris en soulevant lexistence dun dommage imminent. Pour la
Cour dappel, les socits appelantes taient bien exposes un dommage imminent (la perte
de clientle). Elle a aussi considr que lassureur connaissait lors de la signature de la police
lexistence du risque li au passage lan 2000 des systmes dinformation. De facto, la Cour
dappel a ordonn la prorogation du contrat dassurance jusqu ce que les socits en cause
souscrivent un nouveau contrat.
La Cour de cassation casse larrt de la Cour dappel au motif quelle navait pas assortie sa
mesure dun terme certain.
Au fur et mesure que les risques informatiques sont apparus, les Compagnies dassurance se
sont proccupes de ce nouveau march quest lassurance informatique. Pour les y aider, ont
t cres diverses institutions comme la sous Commission Globale Informatique, institution
cre par lAPSAD (Assemble Plnire des Socits dAssurance de Dommage), en 1983.
Cette commission fut charge entre autres dtablir la typologie des risques informatiques et
leurs consquences. En 1984, fut cre le CLUSIF (cf. supra). La commission assurance et
scurit des risques informatiques fonde en 1991 par le Comit Europen des Assureurs
(CEA) ralise notamment des valuations statistiques (sinistres, primes, tudes de nouvelles
garanties, guides de recommandation et de prvention).
Lidentification des risques consiste inventorier les ressources informatiques (matriels,
logiciels, systme dexploitation par exemple) dans un premier temps, puis, suit lanalyse des
risques de responsabilit.
Lorigine des risques conduit distinguer trois causes essentielles (communment admises
par les spcialistes) : les accidents (physiques, pannes,), les erreurs (danalyse, de
conception, de ralisation, de mise en uvre ou dutilisation) et les malveillances (fraude,
sabotage, attaque logique sous forme de chevaux de Troie, divulgation de donnes).
La gestion des preuves nest pas ngliger. La signature lectronique tend se dvelopper.
Elle est dailleurs encadre juridiquement, reste maintenant voir concrtement les
applications. Certaines entreprises rsistent mal une fausse commande ou des refus de
livraison tel que le E-commerce le gnre.
Lassurance (en gnral) obit certains principes. En effet, pour quun risque soir assurable,
il doit tre alatoire, quantifiable et compensable au plan financier. Les risques lis aux NTIC
posent deux problmes. Dune part, le risque reste difficilement quantifiable statistiquement
mme si des institutions communiquent quelques chiffres. Le recul nest pas suffisant. La
prise en compte des risques informatiques par les assurances ne date que du dbut des annes
1980.
Dautre part, la compensation financire est estime approximativement, elle est mme
parfois inenvisageable tant les dommages sont importants. Le systme de rassurance permet
dattnuer ce problme ( Lassureur de linternet : Fia-Net, par exemple, utilise souvent ce
systme).
Malgr tout, les assureurs ont su sadapter en proposant des contrats globaux, tels les
multirisques. Ils ont lavantage de couvrir lensemble des dommages.
Les garanties lies aux risques informatiques sont regroupes sous quatre rubriques
principales :
-
Lopration dassurance est encadre la fois par les dispositions du droit gnral des contrats
et par les dispositions spcifiques du Code des Assurances. Ainsi, le contrat dassurance est
un contrat alatoire, consensuel, dadhsion, synallagmatique, titre onreux.
Auteur : Alexis Thomas
Force est de constater quil ny a pas de vide juridique en la matire. Le domaine des NTIC
tend tre de plus en plus rglement. Cest une constante qui ne se dmentira pas lavenir.
Ainsi, toute atteinte malveillante de quelque nature quelle soit constitue autant de risques et de
dommages associs qui peuvent faire lobjet de couverture dassurance. Nanmoins,
lentreprise qui souhaite raffecter son budget scurit en prime dassurance aura du mal
trouver une Compagnie. Lassurance ne garantie que le risque rsiduel.
Certaines entreprises adoptent une stratgie globale des risques, il nempche quil subsiste
toujours lala de survenance dun sinistre. Lexemple topique : un nouveau virus nest pas
dtect ou bien un individu trouve une faille dans le rseau et en abuse pour soutirer des
donnes confidentielles. Ce peut aussi tre le cas dune engeance dun employ rcemment
licenci. En dfinitive, la scurit optimale nexiste pas ce jour, lassurance intervient donc
quand la scurit na pas suffit.
Les phases contractuelles de ces contrats dassurance informatique mritent notre attention
pour leur particularisme. Ainsi, la premire partie traitera de la formation du contrat, la
5
Loi n 78-17 du 06 janv. 1978 relative l'informatique, aux fichiers et aux liberts.
Loi n 88-19 du 5 janv. 1988 relative la fraude informatique.
7
Loi n 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et
relative la signature lectronique.
6
deuxime portera sur lexcution du contrat et les diffrentes obligations des parties. La
dernire partie concernera lextinction du contrat et les possibles litiges.
Lintrt du sujet est dadopter une vision pratique en rappelant chaque reprise quelques
principes gnraux ncessaires la comprhension des dveloppements.
alexis.thomas@orange.fr