En France, peu d’entreprises sont couvertes contre le risque cyber. En effet, cela concerne seulement 15% des sociétés de taille intermédiaires selon l’Amrae, l’association pour le Management des Risques et des Assurances de l'Entreprise. Et pour les rares qui sont assurées spécifiquement contre les pannes informatiques, aucune certitude sur le fait qu’elles seront indemnisées de la panne qui a affecté les services de Microsoft il y a dix jours, prévient Philippe Cotelle, administrateur de l’Amrae.
"Il faut voir en fonction de l’ampleur des dégâts"
"Il est souvent question d’avoir un délai de carence, qui peut être entre 12 et 24 heures, et qui implique que pendant ces 12 ou 24 heures, les impacts ne vont pas être indemnisés. Or, dans le cas qui nous concerne, on voit bien que la panne a été résorbée relativement vite, et donc il est possible que, même en étant couvert pour l’impact, la franchise soit un obstacle à l’indemnisation", précise-t-il.
Il existe tout de même un levier pour tenter de se faire indemniser, même si l’entreprise n’est pas assurée : engager un recours contre Crowdstrike, le fournisseur de services cyber pour Microsoft, à l’origine du bug. Olivier Moustacakis, co-fondateur d’Assurland.com, s’attend à voir quelques procédures de ce type.
"Il faut voir en fonction de l’ampleur des dégâts : s’il y a des pertes de données, une suspension d’activité qui a été préjudiciable pour votre activité, vous pouvez engager un recours en responsabilité contre cette société", explique le co-fondateur d’Assurland.com. Mais ces procédures ont peu de chance d’aboutir. Aux entreprises donc de juger si le jeu en vaut la chandelle.