Télécharger Mozilla Firefox 
Télécharger Google Chrome Ce qu’il faut retenir du dernier rapport du Trésor sur la cyber assurance
Cyber assurance : un marché croissant qui manque de structure
Le rapport dresse un constat simple : face à des cyberattaques de plus en plus nombreuses et coûteuses, le marché de la cyber assurance connaît une croissance rapide, mais reste peu développé et insuffisamment structuré. Côté offre, le principal frein à son développement vient d’une difficulté des assureurs à mesurer le risque, protéiforme et évolutif, notamment en raison d’un manque de données. Côté demande, le frein provient de la tendance des entreprises, notamment les TPE-PME, à sous-estimer l’impact potentiel d’une cyberattaque sur leur activité.
Cyber assurance, les chiffres
Clarifier le cadre juridique de l’assurance des risques cyber
Afin de lever toute ambiguïté sur les couvertures des assurances cyber, dommageable aux assurés comme aux assureurs, le rapport insiste sur la diffusion de meilleures pratiques de rédaction des clauses d’exclusion, qui doivent rester formelles et limitées. Il préconise aussi un principe général d’inassurabilité des sanctions administratives. La Direction générale du Trésor se positionne surtout clairement en faveur de l’assurabilité des rançons, conditionnée au dépôt d’une pré-plainte dans les 24 heures.
Inscrire l’assurabilité de la rançon dans la loi conforterait les assureurs sur leurs pratiques et l’application de cette garantie. Ils opéraient jusqu’à présent en zone grise. Et l’obligation du dépôt de plainte est essentiel dans la lutte contre la cyber criminalité.
Assurer les rançons des cyberattaques, une proposition qui fait polémique
La question de l’assurabilité des rançons divise depuis toujours les experts. Certains estiment que c’est un encouragement à la cyber criminalité et une incitation, pour les hackers, à s’attaquer en priorité aux entreprises qui sont assurées. D’autres, que c’est une mesure pragmatique. En effet, même s’il n’est jamais recommandé de payer la rançon, une entreprise victime d’une cyberattaque qui considère que c’est la dernière solution la paiera, qu’elle bénéficie ou non d’une assurance cyber, et ce paiement s’ajoutera à toutes les autres pertes financières.
Payer en dernier recours
Le Trésor considère que le paiement de la rançon doit être une option de dernier recours, mais que sans autre solution, il est important que l’entreprise soit bien assurée face aux risques cyber pour préserver sa viabilité. Par cette position, il donne la priorité aux intérêts économiques de l’entreprise. L’enjeu est clair : éviter des faillites. En effet, de nombreuses entreprises ont déjà été placées en redressement judiciaire après une cyberattaque d’intensité.
Les rançons indemnisées par la cyberassurance sont négligeables par rapport à celles qui ont été payées par des entreprises victimes non assurées. Mais non indemnisées, nombre d’entreprises se sont retrouvées en grande difficulté.
Faciliter la lutte contre la cybercriminalité
Trop d’entreprises renoncent à porter plainte afin de préserver leur image. Lier l’indemnisation à un dépôt de plainte doit permettre de faciliter les investigations, de mieux connaître les méthodes des cybercriminels, pour ensuite renforcer les moyens de lutte et mieux aider les entreprises à se prémunir des attaques. Une visibilité impossible à obtenir si elles payent en secret.
Cyberattaques, les chiffres 2022 en France
Améliorer le partage du risque cyber entre assurés, assureurs et réassureurs
Pour faciliter le développement de la cyber assurance, le rapport promeut l’adoption de méthodes innovantes, telle l’assurance paramétrique, qui permettrait une indemnisation plus simple et rapide des sinistres car elle ne nécessite pas l’analyse d’experts. Dans ce système, notamment utilisé pour les agriculteurs face aux aléas climatiques, l’assuré n’est pas indemnisé en fonction des pertes effectivement subies : c’est un indice de référence, défini dans le contrat d’assurance, qui déclenche le dédommagement.
Le rapport encourage aussi le développement des captives de réassurance, un montage financier qui permet à l’entreprise de se protéger via la mise en place d’une provision dédiée, en franchise d’impôt sur une période longue. Les fonds sont débloqués en cas de sinistre.
La captive, qui nécessite de lourds investissements, n’est souvent accessible qu’à de très grandes entreprises qui l’utilisent déjà sur d’autres lignes d’assurance. Les PME et ETI n’en ont généralement ni les moyens ni l’intérêt.
Mieux mesurer le risque cyber et mieux sensibiliser
Toutes les entreprises doivent être encouragées à investir dans la cybersécurité. Et encore plus les TPE-PME, dont le risque de faire faillite en cas d’attaque est accru. Dans cette optique, le rapport préconise d’accroître la sensibilisation et souligne l’importance de modéliser le risque. Afin de donner aux entreprises une vision plus globale et pertinente, il recommande une mise en commun des bases de données du risque cyber des assureurs et la création d’un Observatoire de la menace cyber.
Les sociétés d’assurance sont réticentes à partager leurs données. Un courtier est plus à même de faire bénéficier ses clients de son expérience, acquise sur l’ensemble de son portefeuille.
Newsletter