La Matmut lance une offre de cyber-assurance étendue

La Matmut vient d’annoncer le lancement d’un contrat d’assurance des risques informatiques destiné aux professionnels et aux entreprises réalisant moins de 10 M€ de chiffre d’affaires, Matmut Cyber Assurance. L’assureur procède à ce lancement via sa filiale Inter Mutuelles Entreprises et en partenariat avec Chubb.

Sans détailler en ligne les conditions de son offre, la Matmut avance une « couverture complète » qui doit permettre à l’assuré touché par sinistre « d’assurer la continuité de son activité, de transférer le coût financier et de préserver sa réputation ».

Au programme, on trouve ainsi « intervention immédiate et gestion de crise (7j/7 et 24h/24) » avec « assistance technique, conseil juridique, frais d’investigation frais de notification CNIL » et cela « dans les 20 minutes suivant la notification de l’incident ».

La responsabilité civile de l’assuré est dite couverte, notamment « en cas d’atteinte à la vie privée ou à la confidentialité des données ». Les dommages liés à un incident sont également mentionnés : « frais supplémentaires d’exploitation, frais de reconstitution des données perte d’exploitation, frais d’expert ». Mais si l'assurance mentionne le RGPD, cela apparaît peu comme un épouvantail : la dimension pénale des sanctions prévues n'est pas soulignée.

Surtout, sujet sensible s’il en est, la Matmut s’avance sur la question des extorsions, indiquant couvrir les « frais d’enquête nécessaires pour limiter l’impact de la menace ». Et cela s’arrête là. Mais quid des rançongiciels ? La question apparaît ouverte.

En dehors de son partenariat avec l’assureur français, Chubb ne semble pas avoir d’états d’âme sur le sujet. Plusieurs documents disponibles en ligne font clairement comprendre que Chubb est disposé à couvrir « les dépenses raisonnables et nécessaires » résultant d’un « épisode de cyber-extorsion ». Comprendre, notamment mais pas uniquement, « l’introduction d’un maliciel dans le but d’interdire l’accès d’utilisateurs légitimes à votre système informatique ». C’est notamment valable en République Tchèque. Mais cela ne se limite pas ce pays.

Dans d’autres documents, Chubb indique couvrir les dépenses induites par « une perte de propriété et d’autres considérations offertes effectivement comme paiement de rançon et d’extorsion à la suite d’une menace ou d’une série de menaces ». A défaut d’être parfaitement claires, les explications sont détaillées.

Du côté de la Matmut – qui reprend sur son site le guide des bonnes pratiques de l’Anssi –, le discours est moins clair. A la ligne cyber extorsion, l’assureur évoque le risque de « bombe logique », forme de malveillance ciblée, ou encore celui de « panne informatique » ou de « fuite de données ». Cela peut-il recouvrir les ransomwares ? Ces maliciels sont susceptibles d’induire une indisponibilité. Et rien ne dit que leurs opérateurs ne menacent pas de divulguer les données prises en otage…

Nous avons interrogé l’assureur sur cette question et nous ne manquerons pas de mettre à jour cet article avec ses réponses.