Télécharger Mozilla Firefox 
Télécharger Google Chrome Rapport parlementaire sur la cyberassurance : ce qu’il faut en retenir
Définir le risque cyber pour mieux l’assurer
Parmi les principales recommandations issues du rapport parlementaire, que signe Valéria Faure-Muntian, députée de la Loire et présidente du groupe d’études Assurances de l’Assemblée nationale, celle qui consiste à définir les risques cyber peut paraître élémentaire. Pourtant, elle est devenue indispensable pour répondre à la vitesse à laquelle les risques cyber ont évolué et à leur technicité galopante. De plus, de nombreux termes en anglais rendent difficile leur compréhension, déjà complexe.
L’objectif est de généraliser les garanties des événements, ce qui nécessite une meilleure compréhension des polices d’assurance, afin de permettre aux entreprises de vérifier et de comparer les niveaux de couverture proposés sur des bases communes.
Ne pas inclure le paiement des rançons dans la cyberassurance, mais assurer les pénalités administratives
La hausse des cyberattaques repose sur une réalité : la professionnalisation et la sophistication croissante des groupes de cybercriminels sont directement liées à la rentabilité de leurs modèles économiques. Cette rentabilité est évidemment renforcée lorsque leurs cibles bénéficient d’assurances cyber qui intègrent le paiement des rançons. Les cybercriminels en ont pleinement conscience : ils cherchent désormais à atteindre les fichiers des assureurs pour ensuite viser leurs clients et avoir ainsi des garanties accrues de paiement.
Sur ce point, le rapport parlementaire est clair : il convient d’inscrire dans la loi l’interdiction pour les assureurs de garantir, couvrir ou d’indemniser la rançon. En revanche, le rapport parlementaire aborde une autre zone grise de l’assurance cyber : la prise en charge des pénalités administratives, et en préconise la couverture par les contrats d’assurance. Ces pénalités correspondent aux sommes que doivent verser les entreprises à une autorité de protection des données personnelles ou une autorité publique (telle que la CNIL) en raison d’insuffisance de protection de données personnelles ou de non-conformité règlementaire.
Le montant des rançons peut atteindre plusieurs millions d’euros. L’interdiction de leur indemnisation peut conduire à une réduction des sommes payées et, par conséquent, des sources de financement des réseaux cybercriminels
Lier l’activation de l’assurance cyber au dépôt d’une plainte
Portée par la crise sanitaire et la digitalisation des usages des Français, la diversité des cyberattaques confirme que les données sont l’objet de toutes convoitises des cybercriminels. La maîtrise et la sécurisation des données représentent ainsi un enjeu de sécurité et de souveraineté pour les États, un enjeu démocratique pour les individus et une source de création de richesses pour les entreprises. De ce fait, elle est devenue stratégique. Pour pouvoir mieux suivre l’état des risques cyber à l’échelle nationale et calibrer les aides, le rapport parlementaire préconise ainsi de lier l’activation de l’assurance cyber au dépôt d’une plainte par les entreprises en cas d'attaque.
L’État doit pouvoir créer une réponse globale, ajustée à la réalité des risques pour défendre de manière appropriée les intérêts français. En effet, une plainte déposée entraîne l’ouverture d’une enquête qui, elle-même, permet la préservation des preuves, le recours à des prestataires et à des experts techniques par les enquêteurs, le déploiement d’une coopération entre les services dédiés en France et leurs interlocuteurs étrangers.
Renforcer les moyens de prévention contre les risques cyber notamment auprès des PME
Dans un contexte de sophistication croissante des attaques et d’un niveau d’équipement très bas pour les PME et les ETI, le rapport parlementaire recommande également de développer des solutions hybrides de cybersécurité et de cyberassurance. Il insiste aussi sur le rôle des assureurs qui doivent fédérer autour d’eux un écosystème permettant une meilleure lisibilité, veillant au respect des prérequis en termes de cybersécurité de leurs différents clients.
Le sujet est particulièrement sensible pour les PME et ETI. En effet, d’après l’AMRAE , près de 87% des grands groupes bénéficient d’un programme d’assurance cyber, mais seulement 8% des ETI, 0.0026% des PME et 1% des collectivités. Il est essentiel d’augmenter ce niveau de couverture.
Vous souhaitez en savoir plus sur les bonnes pratiques en matière de cyber assurance ? Lisez notre article "Risque cyber : développer les bonnes pratiques et évaluer votre besoin d’assurance"
Newsletter