Cyber-assurance : quelques enseignements issus du rapport de l’Assemblée Nationale

Contexte

L’année 2020 a été celle durant laquelle les statistiques liées au cyber risque ont été les plus prolifiques[1] [2] en France. La situation ne s’améliore guère en 2021 car le risque cyber demeure le plus redouté par les entreprises[3]. Bien que la couverture assurantielle de ce risque soit toujours en voie de développement en France, la récente étude[4] menée par la AMRAE, montre que contrairement aux grandes entreprises, les ETI/PME et les collectivités publiques sont le plus souvent peu, voire mal couvertes :

Cette situation est la conséquence de plusieurs facteurs (couvertures non adaptées, population cible non suffisamment sensibilisée, etc.) et y apporter des solutions contribuerait à la consolidation du marché de l’assurance cyber et au renforcement du système français en matière de cyber risque[5]. C’est dans cette perspective que s’inscrit le rapport du Groupe d’Etude Assurance de l’Assemblée Nationale publié le 13/10/2021. L’étude menée se décline en deux grands axes assortis de recommandations :

  • Définir clairement le périmètre juridique du risque cyber ;
  • Promouvoir les dispositifs de prévention et développer des solutions de cyber assurance plus adaptées.

Les principaux éléments à retenir

Le périmètre juridique lié au risque cyber

Les définitions du cyber risque et de la cyber-attaque varient d’un d’assureur à un autre. A cela s’ajoutent les manques de clarté et de visibilité dans les contrats notamment dans le cadre des garanties dites implictes[6] (encore appelée « couvertures silencieuses »). En effet, l’étude[7] menée par le CESIN montre que 54% des entreprises françaises ne font pas appel à leur assureur lors d’une cyberattaque car le contexte ne s’y prête pas. Tous ces éléments constituent un frein au développement de l’offre d’assurance du cyber risque Français.

La première recommandation proposée par le Groupe d’étude Assurance de l’Assemblée Nationale consiste donc à adopter une définition commune du cyber risque et de la cyber-attaque. Cela permettrait de partager une vision commune du périmètre d’intervention de l’assurance notamment dans le cadre du paiement des rançongiciels[8] et de la prise en charge des amendes administratives.

Aujourd’hui, la légalité du paiement des rançongiciels est remise en cause car cela constitue un acte de terrorisme[9] et favorise davantage les attaques en raison des gains récoltés par les cybercriminels. De plus, les cybercriminels étant motivés par la rentabilité, rien ne garantit que les données volées seront restituées à l’entreprise victime de l’attaque. L’étude[10] menée par Cybereason en avril 2021 confirme ce triste constat :

Le Groupe d’étude Assurance de l’Assemblée Nationale propose donc de légiférer pour interdire le paiement des rançongiciels. Il propose également de se caler sur le système américain[11] en sanctionnant les entreprises qui procèdent au paiement de rançons. La logique derrière cette proposition est tout à fait compréhensible dans le sens où cette sanction contribuerait à réduire l’activité des cybercriminels et accessoirement, pousser les entreprises à renforcer leurs systèmes de sécurité.

Les dispositifs de prévention et dynamisation l’offre assurantielle

A l’instar d’autres risques comme le risque climatique, les cyberattaques constituent un problème collectif et chaque acteur doit apporter sa pierre à l’édifice en vue d’endiguer leurs propagations. Aujourd’hui, même si l’Etat français a mis en place plusieurs dispositifs[12] visant à lutter contre les cyberattaques, force est de constater que bon nombre d’entreprises sous-estiment les dangers liés à la non-sécurisation de l’information4. A ce manque de prise de conscience s’ajoute le manque de compétences en cybersécurité qui même s’il est mondial[13], touche également les acteurs français.

Le Groupe d’étude Assurance de l’Assemblée Nationale recommande donc de sensibiliser au moins fois par an les salariés des PME aux risques cyber et de renforcer la formation en cybersécurité.

Quant à l’offre assurantielle, l’étude réalisée par l’AMRAE montre que le niveau de couverture est inadapté aux besoins des entreprises. Ce manque de structuration des offres assurantielles avait déjà[14] été pointé du doigt par l’ACPR (notamment au niveau des garanties dite implicites). De son côté, le Groupe d’étude Assurance de l’Assemblée Nationale déplore la difficulté de réassurer le cyber risque et aussi le fait que le marché soit en partie dominé par des (ré)assureurs essentiellement extra-européens. Parmi les sept recommandations proposées par Groupe d’étude Assurance de l’Assemblée Nationale propose, il est important de noter les trois suivantes :

  • Examiner avec attention les capacités de la Caisse Centrale de Réassurance (CCR) à contenir les risques cyber ;
  • Créer une nouvelle branche d’assurance dédiée à la cyber-assurance ;
  • Harmoniser à l’échelle française puis européenne les critères d’analyse des cyber-risques entre les assureurs.

A noter que le dernier point rejoint l’une des recommandations[15] faite par l’ACPR.

Conclusion

Avec toutes ces recommandations, le Groupe d’étude Assurance de l’Assemblée Nationale entend donner un coup de pouce au secteur de la cyber-assurance et contribuer ainsi à sa structuration. L’Etat français ne reste pas en marge et continue de peaufiner sa politique en matière de cybersécurité en fixant ses objectifs[16] à horizon 2025.

Les actuaires quant à eux sont de plus en plus sollicités sur les aspects techniques inhérents aux risques cyber afin d’apporter toutes leurs expertises auprès des assureurs, dans l’ensemble des étapes de souscription (définition des garanties, sélection, mutualisation, tarification, réassurance) et de gestion de ce nouveau risque. De nouvelles approches se développent, tant au niveau de la modélisation pour proposer des alternatives aux modèles classiques d’IARD, qui atteignent leurs limites, qu’au niveau de l’exploitation des données disponibles pour tirer des premiers enseignements sur la sinistralité et les comportements des assurés, peu enclins dans certains cas à déclarer les sinistres. Les analyses sont menées avec des spécialistes d’autres domaines, notamment du droit et de la cyber sécurité, pour englober un maximum d’informations dans l’appréciation des risques.

Les consultants de GALEA sont à votre disposition pour vous accompagner dans votre analyse de ce nouveau risque.

 

[1] Voir article GALEA du 23/02/2021

[2] Voir baromètre d’Allianz 2020, zoom France

[3] Voir baromètre d’Allianz 2021, zoom France

[4] Voir étude AMRAE de février 2021 en collaboration avec l’IA, ANSII et la FAA

[5] Voir rapport des députés Warsmann et Latombe sur le thème « Bâtir et promouvoir une souveraineté numérique nationale et européenne » du 29 juin 2021

[6] Voir article GALEA du 23/02/2021

[7] Voir la 6ème édition du baromètre annuel du CESIN, février 2021

[8] Programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon

[9] Voir les articles 421-1 et L562-5 du Code pénal

[10] Etude réalisée sur un panel de 1263 entreprises dans plusieurs pays dont la France

[11] Voir le rapport de l’OFAC détaillant les sanctions faites aux entreprises procédant au paiement de rançons

[12] La plateforme cybermalveillance.gouv.fr ou encore les dispositifs mis en place par l’ANSSI pour ne citer qu’eux.

[13] Voir l’étude réalisée par l’Enterprise Strategy Group et l’Information Systems Security en juin 2021 indiquant que 57% des entreprises dans le monde manquent d’experts en cybersécurité.

[14] Voir le communiqué ACPR du 12/11/2019

[15] Voir la revue de presse de l’ACPR du 25/10/2019

[16] Voir la publication du gouvernent de février 2021

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Scroll to top