Le Crédit Agricole se lance à son tour dans l’assurance du risque cyber

Crédit Agricole Assurances vient d’annoncer le lancement d’une offre de cyberassurance. Baptisée Cyber Protection, elle intègre un volet assistance large, avec l’accès « sans franchise » à des experts en sécurité informatique, des avocats, des experts en communication de crise, et des experts en récupération de données.

Le volet garanties couvre les dommages subis comme les dommages aux tiers avec, notamment, les frais de notification et de surveillance de l’utilisation malveillante de données personnelles dérobées, le préjudice financier en cas de cyber-fraude – jusqu’à 25 000 €, ou encore les attaques en déni de service. Mais l’on trouve également là la prise en charge des « frais de récupération et/ou de reconstitution de vos données confidentielles » et les « frais d’accompagnement en cas de cyber-extorsion ».

Les petites lignes du contrat d’assurance ne sont pas présentées en ligne. Mais la définition de « données confidentielles » méritera sûrement un examen approfondi. Et il sera intéressant de voir comment est traitée la question des rançongiciels.

Fin 2017, Generali nous avait indiqué ne pas prendre en charge le paiement de rançons. Mais Hiscox le fait de longue date. Astrid-Marie Pirson, directrice technique de la souscription chez l’assureur, nous avait alors expliqué sa position : « si on ne couvre pas, on ne couvre pas un risque réel et massif pour les petites et moyennes entreprises. Ce serait les laisser tous seuls. Et cela n’aurait aucun sens d’engager des centaines de milliers d’euros de frais alors que la rançon va en coûter mille cinq cents ».

En fait, de nombreux assureurs acceptent de couvrir ce risque, suivant la même logique que pour les tentatives d’extorsion. C’est notamment le cas de Chubb, partenaire retenu par la Matmut pour sa propre offre de cyberassurance. Mais cette dernière a préféré rester muette sur le sujet.

De son côté, Crédit Agricole Assurances propose cinq plafonds de garantie personnalisables, et, en option, une indemnisation de la perte d’exploitation. Mais attention, tout le monde n’est pas invité à souscrire : « les institutions financières et d’assurances, les sociétés opérant dans le domaine du nucléaire, de l’aéronautique ou l’aérospatial, des jeux d’argent, des portails et processeurs de paiement, de l’hébergement de données, de la fourniture de services de base, des crypto-monnaies, ou des activités contraires aux bonnes mœurs » peuvent passer leur chemin.