C’est une menace, autrefois discrète, et désormais sous le feu régulier de l’actualité : les attaques cyber. Ransomwares, phishing, malwares… les moyens de se faire piéger sont nombreux et les conséquences potentiellement dévastatrices pour les acteurs attaqués (particuliers, groupes, institutions, etc.) tant d’un point de vue financier qu’organisationnel, comme en témoigne l’attaque le 21 août du Centre hospitalier de Corbeil Essonne (91). Dans ce contexte, la direction du Trésor du ministère de l’Economie, des Finances, et de la Souveraineté industrielle et numérique a publié le 8 septembre un rapport sur « le développement de l’assurance du risque cyber ». Concrètement, Bercy s’y dit favorable à la prise en charge par les assurances des rançons exigées par les cybercriminels à la condition d’un dépôt de plainte. « La confirmation par le rapport de la prise en charge de l’assurabilité du paiement des rançons, sous condition de plainte, va dans le bons sens pour les entreprises. Il y avait un manque de clarté sur ce point avec des positions variables jusqu’à présent, y compris de la part des assureurs », relève Farid Bouguettaya, associé au sein du cabinet Féral.

Clarification juridique nécessaire

Dans le détail, le rapport de 47 pages issu d’un groupe de travail qui a réuni une trentaine d’acteurs du secteur propose quatre axes de développement. Le premier est relatif à un éclaircissement du cadre juridique de l’assurance du risque cyber au travers d’une clarification de l’étendue des garanties, mais aussi des clauses litigieuses des contrats traditionnels. Le document préconise ensuite une meilleure mesure du risque cyber grâce à une « remontée » des bonnes pratiques des acteurs, la création d’une catégorie ministérielle d’assurance et/ou d’une branche cyber dédiée, ainsi que d’un observatoire de la menace cyber. « Depuis le Règlement général sur la protection des données (RGPD), les entreprises ont véritablement été sensibilisées au risque d’attaques informatiques ou d’incidents de sécurité pouvant affecter les données, en particulier les données personnelles. Il y a de vraies avancées en termes de conformité juridique, mais qui sont à renforcer. En cas d’attaque informatique, l’assurance cyber pourra constituer une des armes particulièrement utiles pour réagir et favoriser la résilience de l’entreprise victime », explique Farid Bouguettaya.

En outre, le rapport de la direction générale du Trésor veut améliorer le partage de risque entre assurés, assureurs et réassureurs. Ce qui pourrait passer notamment par la solution d’une provision dédiée en franchise d’impôt sur une période longue avec à la clé une meilleure gestion du risque cyber pour les entreprises. Enfin, Bercy appelle à une plus grande mise en garde du risque cyber et de ses conséquences, notamment pour les PME/TPE. « Les efforts de sensibilisation de l’entreprise me paraissent fondamentaux. Le jour où l’attaque arrive, trop souvent les entreprises font appel à un “pompier cyber” qui doit intervenir en urgence, et dans certains cas il est trop tard. La clé en ce domaine est d’anticiper », poursuit Farid Bouguettaya. Lequel souligne que « lorsque l’on a affaire à des entreprises américaines, on constate que la question du risque cyber se pose de manière beaucoup plus évidente, naturellement et fréquemment ».

Le paradoxe cyber

La situation est paradoxale en effet : si plus de la moitié des entreprises (54 %) en France a fait l’objet d’une cyberattaque en 2021 d’après le baromètre de la cybersécurité en entreprise, un chiffre en hausse à la faveur de la crise sanitaire, le risque cyber ne représente que près de 3 % des cotisations en assurance dommage des professionnels. En cause : une sous-estimation ou une difficulté pour les entreprises à appréhender ce risque mais aussi des défis pour les assureurs à estimer les impacts. Le marché cyber pour les assurances est de niche. Son chiffre d’affaires en France est ridiculement bas et n’atteint que 219 millions d’euros, soit 0,35 % des revenus des assurances de biens et responsabilité, d’après la fédération professionnelle France Assureurs.

Reste que le sujet est brûlant et devrait se traduire concrètement dans les prochains mois. Une task force dédiée réunissant les différents acteurs du secteur devrait être mise en place sous l’égide de Bercy d’ici fin septembre pour concrétiser des propositions. Le projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI), abordant la question des cyberattaques, vient par ailleurs d’être présenté en Conseil des ministres tandis qu’au niveau européen, le projet de Cyber Resilience Act a été publié le 13 septembre par la Commission européenne. Pour Farid Bouguettaya, le sujet cyber est crucial car il va devenir omniprésent d’où l’importance d’agir au plus vite. « D’après le rapport, 54 % des entreprises auraient fait l’objet d’une cyber-attaque en 2021 ». Et l’avocat de conclure : « Je ne serais pas étonné que dans cinq ans, ce chiffre avoisine ou atteigne les 100 %. »