Cyberassurance : un rapport parlementaire veut interdire le paiement des cyber-rançons
Le nombre de cyberattaques explose en France mais l’assurance peine toujours à couvrir ce risque émergent. Un rapport parlementaire vient de proposer une batterie de mesures pour mieux structurer le marché de la couverture du risque cyber et mieux prévenir les risques. Il propose notamment une interdiction du paiement des cyberrançons, une harmonisation des critères de risques ou la formation des agents généraux à ce risque. L’enjeu est bien de renforcer l’écosystème numérique français en plein essor.
Alors que les cyberattaques pourraient devenir un risque économique systémique, menaçant entreprises et institutions publiques, le marché de la cyberassurance, en France, peine à se structurer. L’équation est en effet compliquée à résoudre. Alors que le risque augmente, les couvertures sont encore insuffisantes et la demande des entreprises trop faibles pour créer un véritable marché de la cyberassurance économiquement viable.
Pour l’heure, en France, les assureurs perdent de l’argent sur ce risque. Si le volume de primes a augmenté de 49% en 2020 (à 130 millions d’euros), le montant des indemnisations versées a, lui, été multiplié par 3 (à 217 millions d’euros en 2020), soit un ratio combiné qui est passé de 84 % en 2019 à 167 % en 2020. En soi, cela n’a rien d’inquiétant pour un marché émergent. Mais il faut trouver les conditions pour qu’il trouve, rapidement, son équilibre.
Un cadre commun pour mieux prendre en compte les risques
Pour sortir de ce cercle vicieux, la députée Valéria Faure-Muntian (LREM), co-présidente du groupe d’études “Assurance” à l’Assemblée nationale, esquisse, dans un rapport parlementaire, des recommandations pour “lever les freins au développement en France d’un marché mature de la cyberassurance”. L’objectif est défini : en structurant ce segment assurantiel, c’est tout l’écosystème numérique français qui pourrait devenir plus robuste grâce à une meilleure prévention.
Cyberassurance : un rapport parlementaire veut interdire le paiement des cyber-rançons
Le premier enjeu est de bien définir le périmètre des couvertures des contrats. L’élue de la Loire préconise ainsi une définition commune du cyber-risque et de la cyberattaque alors que les différentes compagnies d’assurance proposent des terminologies différentes.
Cette meilleure lisibilité passe également par la loi, du moins sur deux points sensibles, qui font débat au sein même des assureurs : le paiement des rançongiciels et la prise en charge des amendes administratives par les assureurs.
Pour Valéria Faure-Muntian, ”il convient d’inscrire dans la loi l’interdiction pour les assureurs de garantir, couvrir ou d’indemniser la rançon.” En 2020, l’Anssi a constaté une hausse de 225% des signalements d’attaques par rançongiciels par rapport à 2019. Ces attaques, qui constituent l’une des principales menaces qui pèsent sur les entreprises, consistent à “verrouiller” les données d’une entreprise ou d’une institution exigeant, pour libérer les informations, le paiement d’une rançon généralement en cryptomonnaie.
Selon l’Agéa (association nationale des agents généraux), cinq compagnies d’assurance françaises acceptent d’indemniser les rançons. Le leader Axa, qui proposait cette garantie dans ses contrats cyber, a cependant fait machine arrière en mai dernier. L’interdiction défendue par la députée aurait vocation à unifier le référentiel de risques entre les assureurs.
Prise en charge des amendes administratives
Quant au risque lié au paiement des amendes administratives, l’élu défend l’idée d’une prise en charge par les assureurs. Depuis la mise en place du RGPD - visant à la protection des données personnelles des consommateurs - les entreprises s’exposent à des amendes pouvant aller jusqu’à 20 millions d’euros ou à hauteur de 4% du chiffre d’affaires de l’entreprise en cas de manquement aux règles.
L’autorité administrative, la CNIL, pourrait ainsi tenir responsable une entité qui se ferait voler ses données. Or, pour la députée, l’erreur humaine ou la faille de sécurité d’une entreprise reste assurable. Et elle s’appuie sur un article du code l’assurance : ”la responsabilité de l’assuré reste techniquement assurable dès lors qu’elle est issue, soit d’une faute non intentionnelle, soit d’une faute intentionnelle commise par une autre personne dont l’assuré peut être tenu pour responsable”.
En clarifiant là aussi la prise en compte du risque, les acteurs de l’assurance pourraient adapter leurs produits afin de mieux couvrir les conséquences pour les collectivités et les entreprises.
Au-delà des compagnies françaises, la députée propose également d’harmoniser au niveau européen les critères d’analyse des cyber-risques entre les assureurs. Un constat partagé par le régulateur en France, l’ACPR. Tout cela pourrait déboucher sur la création d’une branche d’assurance dédiée au cyber, propose l’élue.
Renforcer la prévention pour limiter les risques
La prévention est également un élément clé de la structuration du marché. L’adage est bien connu dans le monde de l’assurance : sans prévention, pas d’assurance possible. Et les auditions menées dans le cadre de ce rapport montrent ô combien de nombreuses entreprises restent non assurables, faute de dispositifs élémentaires de sécurité et de prévention. La prise de conscience doit aussi venir du monde de l’entreprise.
Une étude menée par Dell Technologies au printemps 2021 montre que neuf entreprises sur dix estiment qu’il est nécessaire de se prémunir contre les cyberattaques mais une sur trois n’utilise toujours pas d’antivirus. Et les budgets alloués à ces menaces restent dérisoires : ils n’excèdent par 1.000 euros par an pour six entreprises sur dix.
Le rapport parlementaire préconise donc de ”sensibiliser au moins une fois par an les salariés des petites et moyennes entreprises aux risques cyber” et de ”créer pour les collectivités, les administrations et les entreprises un prérequis en matière de cybersécurité”.
Les assureurs sont des pièces centrales pour pousser les entreprises à se protéger. ”Ils jouent en effet un rôle de tiers de confiance vis-à-vis de leurs assurés et leur donnent des outils de prévention pour faire face aux risques auxquels ils sont exposés”, estime Guillaume Poupard, le directeur général de l’Anssi, cité dans le rapport. “Elles ont également un pouvoir incitatif qui poussent leurs assurés à s’astreindre aux bonnes pratiques de cybersécurité, voire à réaliser des audits réguliers pour évaluer leur niveau de maturité.
L’agent général n’est pas un ingénieur-informaticien
Mais pour cela, les agents généraux présents sur le terrain doivent être formés aux enjeux cyber. C’est pourquoi la députée propose ”d’inclure dans la formation des réseaux de distribution la connaissance du cyber-risque et le volet assurance cyber”.
Pour faire grossir le marché, en effet, ”le taux de pénétration ne s’améliorera pas sans une formation particulière des agents
Cyberassurance : un rapport parlementaire veut interdire le paiement des cyber-rançons
chargés de la distribution, qu’il s’agisse des réseaux salariés, des agents généraux ou de courtiers en assurance”, poursuit l’élue.
Mais pour plusieurs agents généraux contactés, ce n’est pas si simple. “Une fois qu’on a posé les questions de base comme la présence d’un VPN ou d’une sauvegarde de données déportées, que pouvons-nous faire ? Je ne suis pas ingénieur-informaticien. La prévention du cyber-risque, ce n’est pas notre coeur de métier. C’est une compétence d’expert”, alerte un agent général d’Axa.
Et de s’interroger : ”la moyenne d’âge des agents généraux est élevée. Or, il faut être à l’aise sur ces questions techniques et numériques pour poser les bonnes questions. A mon sens, il y a une véritable problématique générationnelle”.
Récupérer de la donnée
Autre frein mentionné dans le rapport : améliorer la récolte d’informations. C’est un élément clé dans la structuration du marché, comme le rappelait dans nos colonnes Denis Kessler, président du réassureur Scor.
”Si le risque cyber n’est pas à proprement parler non modélisable, il est difficile à quantifier et à modéliser, non seulement en raison de ce caractère endogène mais aussi, plus fondamentalement, en raison du manque de données et de sa nature très évolutive, qui limite notre capacité à l’évaluer prospectivement à partir de la seule observation de la sinistralité passée”.
Pour récupérer plus d’informations, la déclaration des actes malveillants est cruciale. L’élue propose donc de ”subordonner l’activation des garanties assurancielles au dépôt de plainte à la suite d’une cyberattaque”. Mais aussi de ”promouvoir le dispositif cybermalveillance.gouv.fr auprès des entreprises et des organisations” et de ”créer un recueil anonyme des cyberattaques frappant les entreprises”.
En effet, beaucoup d’acteurs économiques touchés ne communiquent pas sur ces attaques, redoutant un impact négatif sur leur image ou d’inquiéter leurs clients ou fournisseurs.
Rendre concurrentiel le marché
Enfin, le rapport estime qu’un marché français ne pourra pas réellement naître tant que les offres assurantielles sont toujours aussi concentrées entre les mains d’acteurs étrangers.
”Les acteurs reconnus de la cyberassurance viennent historiquement et essentiellement des États-Unis et de Grande-Bretagne, comme AIG, CHUBB, AXIS, LibertyMutual, ou The Hartford”, peut-on lire. Or, ”un marché sain est un marché ouvert et concurrentiel, ce sont ces conditions qui permettent l’évolution favorable de l’offre pour les clients.”
Alors que les capacités mondiales de réassurance sont en baisse, du fait de l’augmentation des risques et de leur intensité (comme le risque climatique) qui pourraient coûter des milliards d’euros aux assureurs, les capacités allouées par les réassureurs à la France et au risque cyber sont faibles, voir en diminution. Le pays ainsi que ce segment assurantiel ne sont pas prioritaires pour ces “garants”.
Résultat, les acteurs étrangers ont un accès plus aisé à ces réassureurs et peuvent donc être plus présents sur le marché français.
Pour rendre plus compétitif le captif d’assurance en France, le ministre de l’économie, Bruno Le Maire, va prochainement déposer un amendement à la loi de finances 2022 afin de créer un nouveau dispositif fiscal mieux adapté aux captives de réassurance en France. De quoi attirer davantage de capacité financière pour soutenir ce marché naissant et stratégique pour la défense des entreprises.