En juin dernier, un groupe de travail portant sur le développement d’une offre assurantielle de couverture des risques cyber a été mis en place. C’est à l’issue de ces travaux que la direction générale du Trésor publie un rapport sur le développement de l’assurance du risque cyber. Il propose un plan d’actions décliné en quatre axes. Bercy a donné des précisions ce 7 septembre. On y note notamment que l’indemnisation des cyber-rançons est autorisée, mais sous condition d’un dépôt de plainte.
“La numérisation de l’économie engendre de nouvelles vulnérabilités pour les entreprises, et contribue, en particulier, à l’émergence d’un risque nouveau : le risque cyber », explique Bercy dans un communiqué. “Alors qu’elles s’accroissent en volume, fréquence et complexité, les cyberattaques sont aujourd’hui susceptibles de menacer la survie d’une entreprise. La résilience face au risque cyber constitue donc un enjeu majeur de souveraineté. »
Paiement des rançons : dépôt de plainte obligatoire
En premier point, le rapport insiste sur la clarification du cadre juridique de l’assurance du risque cyber. Il est ainsi recommandé de diffuser des bonnes pratiques de rédaction pour améliorer la prise en compte de ce risque. À moyen terme, il est proposé de renforcer l’information des assurés sur l’étendue de leurs garanties. Enfin, indique Bercy, “l’obligation d’un dépôt de plainte de la victime pour permettre l’assurabilité d’une cyber-rançon, ainsi qu’un principe général d’inassurabilité des sanctions administratives sont également proposés pour lever des ambiguïtés dommageables aux assurés comme aux assureurs ». La mesure dédiée aux cyber-rançons avec obligation de dépôt de plainte pour être indemnisé, est partie intégrante du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) présenté ce mercredi 7 septembre en Conseil des ministres.
Un rapport parlementaire avait proposé il y a un an « d’inscrire dans la loi l’interdiction pour les assureurs de garantir, couvrir ou d’indemniser la rançon », estimant que “le paiement des rançons (par les assureurs) alimente la cyber-criminalité ». Axa France avait suspendu en 2021 la commercialisation de l’option “cyber rançonnage”, suivi par Generali France début 2022.
Mieux mesurer le risque cyber
Le rapport recommande d’améliorer l’évaluation des risques des assureurs afin de permettre aux acteurs de mieux prendre en compte l’exposition au risque opérationnel cyber. La création d’une catégorie de “reporting au superviseur dédiée au risque cyber » puis, à moyen terme, d’une “branche cyber dédiée » est également recommandée. Le rapport préconise par ailleurs de faciliter la transmission d’informations entre assureurs au sein d’une plateforme de partage de données sur les incidents cyber issue d’un partenariat public/privé, afin de disposer de davantage de données sur ce risque.
Améliorer le partage de risque entre assurés, assureurs et réassureurs
Outre la promotion de solutions innovantes, comme “l’assurance paramétrique » qui permet le versement automatique d’une prestation établie en fonction d’un indice mesurable automatiquement, le développement de solutions d’auto-assurance telles que les captives de réassurance pourrait permettre de créer un marché de l’assurance du risque cyber. “La mise en place d’une provision dédiée apparait, à cet égard, être une solution pertinente pour permettre aux entreprises de mieux gérer leur risque cyber. »
Le rapport préconise enfin d’accroître les efforts de sensibilisation des entreprises au risque cyber. “La définition de référentiels de sécurité partagés et un travail sur l’harmonisation des questionnaires de sécurité utilisés par les assureurs constituent également un levier pour renforcer la résilience des entreprises. »
Une mise en oeuvre “le plus rapidement possible »
Afin de mettre en œuvre ces orientations, une “task force” dédiée à l’assurance du risque cyber, associant les acteurs concernés, sera mise en place d’ici la fin du mois de septembre, précise Bercy. Bruno Le Maire, ministre de l’Economie, des Finances et de la Souveraineté industrielle et numérique, souhaite que ces orientations “soient mises en œuvre le plus rapidement possible ». A ses yeux, l’enjeu est crucial : “il s’agit d’affirmer la souveraineté numérique de notre économie face à un accroissement des menaces cyber, pour renforcer la résilience de nos entreprises. »
En revanche, la question de la couverture de dommages liés à une cyberguerre, dont la notion n’est pas clarifiée, n’est pas tranchée. A la mi-août, le Lloyd’s of London a lui demandé à ses membres assureurs d’exclure à partir de mars 2023 la couverture des cyberattaques étatiques.
Si l’on se réfère aux chiffres fournis par l’AMRAE, la part des sinistres cyber couverts par une assurance cyber en France qui ont donné lieu à une indemnisation inférieure à 3 M€ en 2021, est de 97 %. Ce qui souligne que le risque cyber reste pour l’essentiel maîtrisable.