Assurances : un modèle à inventer d’urgence
Quasi exclusivement porté par les grandes entreprises, le marché de l’assurance cyber doit dessiner de nouveaux contours.
Face à la montée en puissance du risque numérique, quel doit et peut être le rôle des assurances ? Depuis plusieurs mois, la question génère des tensions entre assureurs et entreprises, les secondes contestant le durcissement brutal des conditions proposées par les premiers : doublement des taux de prime, contraction des capacités, instauration de très fortes franchises (près de 4 millions d’euros en moyenne). Mais de quoi parle-t-on quand on aborde le sujet de l’assurance contre le risque cyber ? D’un marché de niche, dont le chiffre d’affaires, en 2021, ne dépasse pas les 219 millions d’euros, soit 3,1 % du total des cotisations de l’assurance des dommages aux biens des professionnels, et 0,35 % du chiffre d’affaires des assurances de biens et responsabilités (chiffres France assureurs). Un marché de surcroît quasi exclusivement porté par les grandes entreprises, qui versent à elles seules 84 % des primes au titre de la garantie cyber. Alors que le paysage économique en France se caractérise par une immense majorité de petites et très petites entreprises, seules 0,3 % d’entre elles sont aujourd’hui couvertes, selon l’Association pour le management des risques et des assurances de l’entreprise (Amrae).
La direction générale du Trésor s’en mêle…
Devant cette situation, Bercy a demandé à la direction générale du Trésor (DGT) de plancher sur les conditions d’un développement de la couverture assurantielle du risque cyber.
Les grandes entreprises
versent 82 % des primes
au titre de la garantie cyber
Parmi les propositions de la DGT remises au gouvernement le 7 septembre 2022 : une clarification des clauses des contrats, la création à moyen terme d’une branche cyber dans le code des assurances, ainsi que d’une plateforme public-privé de partage de données anonymisées sur les incidents cyber – données qui pourraient être issues, entre autres, des dépôts de plainte des entreprises. Fort de ces préconisations, le ministère de l’Économie propose la création d’un nouveau cadre réglementaire visant à obliger les assureurs à indemniser les entreprises victimes d‘attaques par ransomware, lorsque celles-ci paient la rançon demandée. Un projet de loi présenté en Conseil des ministres conditionnant l’indemnisation à l’obligation pour les victimes de déposer une plainte sous 48 heures. Ce, alors que, selon le Club des experts de la sécurité de l’information et du numérique (Cesin), seulement la moitié des entreprises rançonnées déposent effectivement plainte.
Début de fronde au sein des grandes entreprises
La position du gouvernement suscite de vives réactions dans la communauté des professionnels de la cybersécurité. Elle soulève de fait de nombreuses questions. Ne risque-t-on pas d’encourager le cybercrime ? Quelle sera l’attitude des assureurs si le montant de la rançon s’avère moins élevé que les coûts de remédiation ? Certaines entreprises ne risquent-elles pas de se traîner une réputation de « bons payeurs » auprès de la communauté des cybercriminels ? Le Cesin a d’ores et déjà sondé ses membres. Le résultat est sans appel : 82 % sont contre. En attendant, la grogne gagne les grandes entreprises. Sur les 251 d’entre elles qui avaient souscrit une garantie cyber en 2020, onze ont préféré renoncer en 2021.
