Cinq pièges de l’assurance cybersécurité : leçons des États-Unis

24 avril 2017

Écrit par Ruth E. Promislow and Ethan Z. Schiff

Compte tenu de la menace croissante des cyberattaques et des coûts correspondants, les entreprises envisagent de plus en plus l’assurance cybersécurité.  Mais l’assurance n’est aussi efficace que la portée de la couverture. Bien que les tribunaux canadiens n’aient pas encore interprété les polices d’assurance dans le contexte de la cybersécurité, les affaires américaines mettent en évidence cinq pièges notables.

1. Protection refusée parce que l’assuré ne s’est pas conformé aux obligations sous-jacentes

Tout comme la couverture santé peut dépendre du maintien d’un mode de vie sain par l’assuré, l’assurance cybersécurité peut être subordonnée au respect par l’assuré de certaines normes techniques. Dans Columbia Casualty Co v Cottage Health System, l’assureur a refusé la couverture et a allégué que l’assuré ne s’était pas conformé aux « procédures et contrôles des risques » requis, ce qui imposait l’obligation de « suivre les pratiques minimales requises ».

2. Couverture refusée parce que la mauvaise partie a été blessée

Dans P.F. Chang’s v Federal Insurance Co, l’assuré (P.F. Chang’s) a fait une réclamation sur son assurance en raison d’une violation de données entraînant le vol de dossiers appartenant à ses clients. P.F. Chang’s n’a pas subi de blessure. La Cour a conclu que la police d’assurance pertinente ne couvrait pas celle de P.F. Chang’s parce que la police exigeait que le demandeur subisse un préjudice. La police en cause a été commercialisée comme « une solution d’assurance flexible conçue par des experts en cyberrisques pour faire face à toute l’étendue des risques associés à faire des affaires dans le monde d’aujourd’hui dépendant de la technologie ».

3. Couverture refusée parce que la mauvaise partie a causé le préjudice

Dans l’affaire Zurich American Insurance Co c. Sony Corp of America et al1^, Sony a présenté une réclamation sur son assurance pour la défense et l’indemnisation en raison de pertes résultant d’une violation de données par des pirates informatiques criminels. La police prévoyait une couverture pour « la publication orale ou écrite de quelque manière que ce soit du matériel qui viole le droit à la vie privée d’une personne ». Le tribunal a toutefois jugé que la police ne fournissait une couverture que si Sony publiait le matériel lui-même. Depuis que les pirates ont publié le matériel, Zurich n’avait aucune obligation d’indemniser Sony.

4. Couverture refusée parce que la cyberactivité n’était qu’accessoire

L’assurance cybersécurité ne peut fournir une couverture que si la perte résulte clairement de la cyberactivité. Dans l’affaire Apache Corp v Great American Insurance Company, l’assuré a été victime de fraude après qu’un employé a déterminé à tort que la demande de transfert d’argent par téléphone et par courriel d’un fournisseur connu était authentique. La demande s’est avérée frauduleuse et l’assuré a remboursé le vendeur. L’assuré a fait une réclamation basée sur son assurance qui couvrait « la perte et la perte de dommages causés à de l’argent, des titres et d’autres biens résultant directement de l’utilisation de tout ordinateur pour provoquer frauduleusement un transfert... ». La Cour a conclu que les circonstances n’étaient pas couvertes parce que l’utilisation de l’ordinateur n’était pas le résultat direct de la perte, mais plutôt était « simplement accessoire ».

5. Protection refusée parce que le litige ne faisait pas partie de la portée des réclamations visées

L’assurance peut fournir une couverture pour certaines réclamations à l’exclusion d’autres. Dans l’affaire Travelers Property Casualty Company of America c. Federal Recovery Services Inc., l’assuré a présenté une réclamation fondée sur les coûts engagés pour un litige résultant d’une action en responsabilité délictuelle pour mauvaise utilisation intentionnelle de ses activités de stockage de données. L’assureur a rejeté la réclamation parce que la police ne prévoyait une couverture que si la perte avait été causée par « une erreur, une omission ou un acte négligent ». Le tribunal a statué que la poursuite intentée contre l’assuré pour « connaissance, volonté et malveillance » ne relevait pas de la portée de la couverture.

Conclusion

La jurisprudence américaine souligne l’importance de comprendre les risques et les vulnérabilités de votre entreprise afin de définir la portée précise de l’assurance cybersécurité requise.  Une évaluation des risques et des vulnérabilités est un élément essentiel à l’établissement d’un plan global de cybersécurité qui atténuera les risques et les dommages correspondants. 

L’équipe de cybersécurité Bennett Jones est disponible pour vous aider.

Remarques :

¹ 2014 NY Misc LEXIS 5141.

Auteur(e)s