Le rapport « Assurance et risque cyber » de la Direction Générale du Trésor
- A la uneL’année 2022 est marquée par une nette augmentation des cyberattaques visant les entreprises, encore trop peu préparées à ce risque et à ses conséquences potentiellement graves. Parmi les motifs d’impréparation, le faible développement du marché de l’assurance en la matière et donc de la couverture de ce risque. A l’initiative de Bruno Le Maire, la Direction Générale du Trésor (DGT) a publié le 7 septembre dernier un rapport “Assurance du risque cyber”, visant à soutenir le développement d’une offre dédiée. Ce rapport alimentera les réflexions actuellement poursuivies concernant en particulier l’assurabilité des cyber-rançons ; cette assurabilité – sous conditions – est prévue par le Projet de loi d’orientation et de programmation du ministère de l’intérieur.
Le marché de la cyber assurance est effectivement très peu développé en ce domaine ; à titre d’illustration, le chiffre d’affaires des assurances de biens et responsabilité professionnelles se rattachant au risque cyber ne représente que 0,35% du chiffre du secteur en 2021. Pourtant, la numérisation de l’économie, synonyme de multiplication des rançongiciels ou autres malveillances le démontre : le risque cyber n’a jamais été aussi élevé.
La DGT inscrit un plan d’action de développement de l’assurance cyber autour de quatre axes :
1. Clarifier le cadre juridique de l’assurance du risque cyber
La clarification du cadre juridique s’entend aussi bien au stade de la souscription des contrats d’assurance, que de la rédaction des clauses de ces contrats. La DGT souligne la nécessité d’améliorer la compréhension des offres proposées, et de lutter contre les clauses et exclusions encore trop obscures.
En ce sens, les mesures envisagées impliquent notamment d’élaborer un guide rappelant le cadre juridique et les bonnes pratiques aux assureurs. Le rapport préconise également de remédier aux couvertures silencieuses, à savoir lorsqu’une couverture risque cyber est inclue dans un contrat d’assurance plus traditionnel. Une ébauche de conditions d’accès aux indemnisations est aussi proposée : le rapport propose notamment de conditionner l’assurabilité des cyber rançons au dépôt de plainte de la victime.
2. Mieux appréhender et mesurer le risque cyber
La DGT traite par ailleurs d’un enjeu majeur pour les assureurs, la nécessité d’améliorer la prise en compte du risque cyber dans le pilotage de l’activité assurantielle. En ce sens, cette dernière recommande à ces derniers d’intégrer le risque cyber dans leurs processus internes d’évaluation des risques et de solvabilité (ORSA). Ceci pourrait se faire au travers de la création d’une base de données des incidents et délits cybers, afin de permettre aux professionnels du secteur une meilleure appréciation de leur exposition à ces risques, et de procéder à des évaluations annuelles des risques opérationnels – notamment au travers de scénarios d’interruption majeure d’opérations suite à une cyberattaque.
Une meilleure appréhension des risques implique aussi une meilleure remontée des informations. Le secteur assurantiel pâtit effectivement d’un manque de données, et donc de visibilité sur le risque cyber, expliquant pour partie la frilosité des assureurs sur ce marché. Le rapport recommande donc la création d’un Observatoire de la menace cyber pour combler ce manque d’informations, de manière à optimiser la modélisation du risque cyber par l’assureur et d’élaborer des régimes assurantiels plus adaptés.
3. Améliorer le partage du risque
La DGT souligne par ailleurs le besoin d’un meilleur partage du risque entre l’assureur et l’assuré, mais pas seulement.
De nombreux modèles alternatifs de protection sont considérés : auto-assurance, assurance paramétrique ou encore les Insurance Linked Securities (ILS). Les modèles d’auto-assurance, ou encore d’ILS permettraient en particulier aux assureurs de couvrir des sinistres cybers – même significatifs – en dispersant les risques. La dispersion est ainsi notamment envisagée au travers de captives de réassurance, ou de la titrisation des contrats d’assurance. Dans un horizon plus proche, les assurances paramétriques sont envisagées du fait de leur simplicité fonctionnelle et de leur stabilité.
4. Accroître les efforts de sensibilisation des entreprises
Dernier axe de transformation du secteur, la sensibilisation n’est pas pour autant moins déterminante dans le tournant du secteur de l’assurance face au risque cyber. Ainsi, autant par l’intermédiaire de l’ANSSI que du ministère de l’intérieur, il est question d’encourager les entreprises, dont les PME, à investir dans leur cybersécurité au travers de la création d’un modèle de cybersécurité décliné en référentiels et questionnaires de sécurité.
***
Ce rapport pose en somme des fondements à développer pour établir un régime et une offre d’assurance stable et adaptée au risque cyber. Il est par ailleurs l’occasion de rappeler que la protection contre les risques cybers doit être multifactorielle : l’assurance ne suffit pas à protéger les entreprises des conséquences parfois désastreuses des cyberattaques ; les entreprises doivent avant tout renforcer la sécurité de leurs systèmes informatiques.
.
En 2021, 54 % des entreprises françaises auraient fait l’objet d’une cyberattaque.
La @DGTresor publie un rapport sur le développement de l’assurance du risque cyber ➡️ https://t.co/gZCsouEG0O pic.twitter.com/vp3pdJYqy9
— Direction générale du Trésor (@DGTresor) September 7, 2022