France : comment avancer sur la cyber-assurance ?

A quels dangers sont exposés les entreprises et les institutions publiques ?

L’attaque la plus commune, d’après les retours des entreprises, est le rançongiciel. Il s’agit d’un logiciel malveillant qui s’introduit dans les systèmes informatiques d’une organisation et crypte toutes les informations. Les données de l’entreprise sont alors prises en otage et la victime doit payer une rançon pour obtenir une clé de déblocage de la part du pirate.

Les hackers peuvent aussi chercher à espionner, à voler des données ou à détourner un processus informatique dans l’objectif de monnayer leurs informations. Plus la cible est importante, plus il peut y avoir de failles potentielles, et plus l’information a de la valeur. Il est donc grand temps de réagir…

La cyber-assurance est-elle une solution viable ? 

En France, les assureurs ont pris la mesure de cette menace et certains d’entre eux proposent déjà des solutions de protection pour leurs clients professionnels. Chez Crédit Agricole Assurances, l’assurance cyber protection couvre quatre volets bien définis :

•    l’assistance à la gestion de crise en cas de cyber-attaque (experts informatiques, avocats, etc.),
•    l’indemnisation des dommages subis par l’entreprise (frais de notification à la CNIL, cyber-fraude, etc.),
•    la responsabilité civile en cas de de dommages causés aux tiers (dommages & intérêts, frais de défense, etc.),
•    et la perte d’exploitation en cas de perte de marge brute suite à la cyber-attaque (en option).

Mais la réalité du marché français n’est pas si simple que ça. En 2020, le volume des primes perçues par les assureurs s’élève à 130 M€ (+47% en un an) contre un montant global des indemnisations versées aux victimes estimé à 217 M€ (+300% en un an). Avec un bilan sinistres sur cotisations de 167%, les résultats des assureurs sont loin de l’équilibre sur la cyber-assurance d’après une enquête menée par l’Association pour le Management des Risques et des Assurances de l’Entreprise (Etats du Marché & Perspectives 2022).

En parallèle, le pourcentage de PME/PMI assuré reste très faible, en dépit de l’explosion des risques à couvrir. Il est donc important de sensibiliser aux risques et développer leur prévention.

Les professionnels de santé sont eux aussi, de plus en plus sensibilisés aux enjeux de protection des données santé de leurs patients. Pour cette raison, une garantie « Cyber-risque » a été intégrée à l’offre Multirisque Professionnelle de La Médicale dès 2017.

Les pouvoirs publics encouragent la coopération entre les acteurs de la cyber-assurance

Pour rétablir l’équilibre du secteur sur le long terme, les pouvoirs publics se sont impliqués aux côtés de l'ACPR (Autorité de Contrôle Prudentiel et de Résolution). L’Assemblée nationale vient donc de publier un rapport dirigé par la députée Valéria Faure-Muntian présentant quelques pistes dont certaines, pour améliorer la résilience de l’assurance face au risque cyber.

Ce rapport rassemble une vingtaine de propositions réunies autour de 3 piliers : garantir le cadre juridique, renforcer l’écosystème et dynamiser l’offre assurantielle.

Parmi les propositions les plus marquantes on notera :

•    La volonté d’interdire, ou du moins d’encadrer sérieusement, le paiement des rançons par les entreprises.
•    La formation de magistrats, de policiers et de gendarmes au risque cyber.
•    La sensibilisation annuelle des salariés et la réalisation d’audits grâce à des aides publiques.
•    L’harmonisation nationale des critères d’évaluation du cyber risque entre les assureurs.

Ces mesures visent à enrailler la rentabilité des cyber-attaques pour les pirates tout en posant les bases d’une coopération entre les acteurs du secteur à l’échelle nationale puis européenne.

Pour fortifier l’écosystème, le rapport suggère un rapprochement entre assureurs investis sur le segment de la cyber-assurance et entreprises spécialistes de la cyber-sécurité. Les assureurs sont également décrits comme le pivot entre les pouvoirs publics et privés, avec un important rôle de prévention, d’acculturation et de sensibilisation.