TRIBUNE – Stéphane Fantuz, président de la CNCEF Assurance et Eric Lamouret, secrétaire général de la CNCEF Assurance, association professionnelle agréée par l’ACPR qui rassemble la grande famille des courtiers en assurance et de leurs mandataires, analysent les enjeux de la loi LOPMI récemment adoptée et ceux que cela suppose pour les acteurs de l’assurance.
La France ne peut plus se résoudre à voir le risque cyber devenir inassurable. A plus forte raison lorsqu’on constate que les attaques par rançongiciels ont été multipliées par dix en l’espace de trois ans. Hôpitaux, collectivités, grands groupes, PME… Les mailles du filet sont si larges que le Parquet de Paris[1] compte plus de 600 enquêtes ouvertes, suite à des cyberattaques. Ciblant indifféremment tous les secteurs, cette criminalité numérique questionne à la fois notre sécurité mais surtout notre souveraineté économique. En effet, nos entreprises et nos collectivités ne sont pas assez préparées à ce phénomène de grande ampleur qu’est la cybermalveillance. Or il devient de plus en plus évident que les cybercriminels sont capables de mettre tout un pays à l’arrêt ou d’en dégrader l’appareil productif pour une durée indéterminée.
La loi LOPMI adoptée par le Parlement et présentée par le ministre de l’Intérieur vient en partie répondre à la pénalisation de la cybercriminalité. Ainsi, le versement par une assurance d’une indemnité couvrant des pertes et des dommages causés par un piratage informatique est conditionné à un dépôt de plainte. La victime dispose d’un délai de 72 heures après avoir pris connaissance de l’atteinte. De même, la saisie d’actifs numériques est désormais rendue possible par des officiers de police judiciaire, sur autorisation du procureur ou du juge d’instruction. De quoi accélérer le processus là où il fallait autrefois passer par le juge des libertés et de la détention. Ce qui faisait perdre un temps important aux enquêteurs qui s’exposaient à voir les cryptomonnaies leur filer entre les doigts. Ces deux mesures les plus emblématiques marquent une bonne intention de la part des pouvoirs publics même si une Loi cadre totalement dédiée à la cyber aurait été préférable comme les différents rapports et missions parlementaires ont pu le préconiser. Dont acte.
“Ces deux mesures les plus emblématiques marquent une bonne intention de la part des pouvoirs publics même si une Loi cadre totalement dédiée à la cyber aurait été préférable”
Notons toutefois que la cyber fait son entrée dans le code des assurances. Un arrêté du 13 décembre 2022[2] crée deux nouvelles catégories d’opérations dédiées au risque dit
« cyber ». Elles permettent une classification des engagements d’assurance consécutifs aux atteintes des systèmes d’information et de communication. En clair, l’Etat entend améliorer le pilotage économique et réglementaire des passifs exposés. De son côté, l’assureur doit faire l’inventaire de ses engagements et mentionner mais aussi catégoriser les garanties cyber. Il devra faire un reporting annuel mentionnant les indemnisations versées, les provisions, les sinistres, les recours…Autant de données qui seront exigées par l’ACPR.
Toutefois, ces dispositions constituent les bases d’un édifice qui reste à construire plus solidement. Il ne subvient qu’en petite partie aux déficits d’un marché français de la cyberdéfense très embryonnaire. La hausse significative de la sinistralité et le manque de structuration des acteurs français nous classent encore loin derrière l’Angleterre dont le modèle est le plus abouti pour ne pas dire le plus performant. Pour preuve, notre pays doit combler son retard. La prime totale payée par les entreprises en 2021 s’élève à 219 millions d’euros[3]. Ce qui représente 0,35 % du chiffre d’affaires des assurances de biens et responsabilités.
“Ces dispositions constituent les bases d’un édifice qui reste à construire plus solidement”
Pour autant, il ne s’agit pas de créer des carcans réglementaires comme nous pouvons en voir dans d’autres professions financières ni de contrevenir à la libre concurrence européenne de l’offre. Il faut plutôt imaginer une démarche responsable qui permettra de construire un circuit équitable aussi bien pour les compagnies d’assurance et les courtiers que pour les entreprises et les citoyens. Les mois à venir devront être ceux de la clarification, de la mutualisation et de la prévention où l’Etat et les acteurs économiques doivent coopérer en surpassant les contradictions des uns et des autres.
En d’autres termes, il faut définir un pacte suffisamment protecteur, pédagogue, doté d’une architecture simplifiée et la plus ouverte possible. C’est le challenge qui attend donc nos institutions mais aussi nos courtiers en assurance et leurs mandataires vers qui les entreprises et les collectivités seront amenées à s’adresser pour se protéger et optimiser leurs données comme leur patrimoine financier. Les courtiers et les associations professionnelles agréées doivent être partie prenante. Non seulement, il convient de mettre fin à la vulnérabilité de notre économie mais aussi de mieux accompagner les entreprises en termes de couverture adaptée. Il reste la pédagogie à entreprendre par l’Etat. Ce n’est que par un partenariat public-privé que nous parviendrons à éloigner la menace et à faire de l’année 2023 une réussite collective pour la cybersécurité.
“Non seulement, il convient de mettre fin à la vulnérabilité de notre économie mais aussi de mieux accompagner les entreprises en termes de couverture adaptée”
[1] France Info – 13/12/2022 – Cyberattaques : 600 enquêtes ouvertes par le parquet de Paris depuis janvier 2022
[2] Publié au Journal officiel le 20 décembre 2022.
[3] Source Agefi Quotidien – 2 janvier 2023.