L’avenir de la cyber-assurance en questions

beyond Technology

L’avenir de la cyber-assurance en questions

0

La crise sanitaire et la généralisation du télétravail se sont accompagnées de l’explosion des cyber-attaques. Particulièrement visées par les hackers, les PME françaises sont pourtant sous-assurées. Pouvoirs publics, parlementaires et professionnels cherchent des solutions.

Publié à la mi-octobre, le rapport de la députée LREM Valéria Faure-Muntian, coprésidente du groupe d’études assurances à l’Assemblée, dresse un constat aujourd’hui partagé : le marché français de l’assurance cyber a du mal à se structurer. De fait, les TPE et PME hexagonales sont particulièrement en retard en termes de sécurité informatique. Une problématique qui devient cruciale alors que les cyberattaques ont augmenté de 255 % en France pour la seule année 2020 ! Les secteurs de la santé, la distribution d’énergie et les télécommunications sont les cibles privilégiées des rançongiciels depuis deux ans.

Les assureurs sont, quant à eux, confrontés à une dégradation de la rentabilité sur leurs lignes cyber. Leur ratio sinistres sur primes est brutalement passé de 87 % à 167 % en 2020. Face à un risque qui peut s’avérer systémique, leur réponse est sans appel : ils réduisent la capacité disponible, augmentent leurs prix et durcissent les conditions de souscription. Un resserrement qui se fait au détriment des PME. Si la plupart des grandes entreprises sont aujourd’hui couvertes en France (à 87 % selon l’Amrae), seules 0,0026 % des PME seraient équipées. La direction générale du Trésor, l’administration du ministère de l’économie et des Finances, a donc lancé un groupe de travail associant professionnels de l’assurance et entreprises en vue de plancher sur des solutions. Tour d’horizon des principales questions mises sur la table.

Comment améliore-t-on l’hygiène informatique des PME françaises ?

« L’assurance cyber fait partie d’une politique générale de gestion du risque », indiquait Amanda Maréchal, souscriptrice cyber chez QBE, lors des Journées du courtage. Or, « bien que sensibilisées aux risques, les ETI, PME et TPE françaises ne sont pas matures », poursuit-elle. Le rapport de la députée Valéria Faure-Muntian dévoile qu’« une entreprise sur trois n’utilise toujours pas d’antivirus ». D’après une enquête de l’assureur Hiscox, les entreprises françaises sont celles qui consacrent le moins de moyens financiers à la cybersécurité, alors même que la menace ne cesse d’augmenter.

Les PME sont les premières victimes de ces attaques. Selon les chiffres de la gendarmerie, elles représentent 46 % des entreprises ciblées par des rançongiciels. L’Anssi (Agence nationale de la sécurité des systèmes d’information), qui reconnaît « que les PME et TPE sont un angle mort », tente de remédier au problème grâce aux conseils dispensés sur la plateforme cyber-malveillance.org. Elle met à disposition des entreprises françaises une liste de pré-requis de l’hygiène informatique. Il est ainsi recommandé une bonne gestion des mots de passe, d’effectuer régulièrement des sauvegardes déconnec­tées et sécurisées, de mettre en place un VPN pour contrôler les accès au système d’information, de former les collaborateurs au phishing et aux cyber­attaques, de réaliser des contrôles et des audits de sécurité réguliers, de s’assurer des mises à jour des logiciels et du matériel informatique, de mettre en place une procédure de gestion de crise cyber…

Comment faciliter l’accès des PME à la cyberassurance ?

Dans un premier temps, le sous-équipement des PME a pu s’expliquer par un manque d’offres adaptées sur le marché français de l’assurance. Par la suite, lorsque des offres standardisées ont pu leur être proposées, les PME et ETI n’ont pas été au rendez-vous : elles considéraient la tarification trop élevée pour une garantie alors vue comme accessoire… Sans compter que les courtiers et les agents généraux, ne comprenant pas le produit, rencontraient des difficultés à le vendre.

La connaissance du risque cyber a progressé… Mais « il y a davantage de demandes que d’offres », pointe Amanda Maréchal. Ce n’est donc plus une question de prix, mais un problème d’accès à l’offre. « Nous refusons en moyenne 50 % des saisines sur le cyber, confirme la souscriptrice. Quand les prérequis en termes de sécurité informatique ne sont pas remplis, on ne prend pas l’affaire. »

Afin de résoudre cette barrière à l’entrée, Frédéric Grand, codirigeant de Diot et LSN Assurances, se dit favorable à la mise en place d’incitations fiscales et d’aides de l’état par un crédit impôt recherche pour encourager les investissements sur la cybersécurité. Il soutient également l’idée de la création d’un dispositif temporaire alliant un engagement public et privé qui aiderait aux entreprises à monter en compétence tout en étant assurées. Dans son rapport, la députée LREM se dit pour un accompagnement financier de l’état permettant l’acquisition de ces minima en termes de cybersécurité requis par les assureurs.

Les chiffres

  • 0,0026 %  des PME françaises sont assurées contre les cyberattaques
    Source : rapport Lucy de L’Amrae
  • 192 cyberattaques ont été répertoriées en 2020, soit une hausse de 255 % en un an
    Source : Anssi

Faut-il interdire le paiement des rançons ?

Le secteur de l’assurance est aujourd’hui partagé entre les assureurs qui indemnisent les clients ayant versé une rançon (QBE, Hiscox) et ceux qui refusent de payer. En avril dernier, l’Anssi et le parquet de Paris accusaient les assureurs payant les rançons d’alimenter la cybercriminalité. « Jamais un assureur ne va payer directement une rançon, ce n’est pas vrai », se défend Amanda Maréchal. Et si le directeur général de l’Anssi, Guillaume Poupard, a reconnu lors des Assises de la cybercriminalité qu’« il est légal de payer une rançon, sauf en cas de financement du terrorisme […] », il indique travailler « avec la DG Trésor et les assureurs pour savoir comment fixer les règles. [ …] Cela n’ira pas jusqu’à l’interdiction stricte de payer une rançon, mais il faut faire en sorte que ce soit en dernier recours. »

La députée Valeria Faure-Muntian est plus catégorique, elle se prononce pour « l’interdiction pour les assureurs de garantir, de couvrir ou d’indemniser la rançon ». Elle va même jusqu’à vouloir « sanctionner les entreprises, administrations ou collectivités qui procèdent au paiement des rançons à l’aide d’un tiers ou de manière directe ».

Pour Grégory Allard, président du courtier Filhet Allard, interdire le paiement des rançons pourrait, au contraire, mettre à mal l’assurance cyber. « Si on interdit le paiement, les programmes cyber vont perdre une grande partie de leur intérêt ! » Il propose plutôt de conditionner la garantie d’indemnisation des ransomware à un niveau de prévention et de cybersécurité minimal.

Faut-il rendre l’assurance cyber obligatoire pour les entreprises ?

Pour justifier leur manque d’appétit sur l’assurance cyber, les assureurs invoquent également l’assiette de mutualisation jugée trop petite. Rendre la cyber­assurance obligatoire permettrait d’élargir cette assiette, et donc de résoudre ce problème de mutualisation. Cependant, chez certains assureurs comme QBE, l’idée est loin de séduire. Pour Amanda Maréchal, cela mènerait à « déresponsabiliser les entreprises ». Par ailleurs, sur le plan politique, une nouvelle assurance obligatoire serait assimilée à une nouvelle cotisation imposée par l’état aux entreprises. Or, dans un contexte de sortie de crise, cela serait difficilement acceptable par ces dernières.

Si elle exclut l’assurance obligatoire pour l’ensemble des entreprises, la députée Valéria Faure-Muntian propose de rendre obligatoire la formation des collaborateurs au risque cyber. Elle évoque également, pour des raisons de sécurité publique, l’obligation d’assurance pour les « entreprises qui travaillent pour ou avec l’État ou des opérateurs d’importance vitale et opérateurs de services essentiels ».

Le partenariat public / privé est-il la solution pour le risque systémique ?

Le risque cyber présente un potentiel systémique. L’incendie de l’hébergeur de données OVHcloud à Strasbourg en mars dernier en est l’illustration. Ce sinistre avait impacté deux tiers de l’Internet français, soit 3,6 millions de sites, et entre 12 000 à 16 000  clients. De par son ampleur et son caractère généralisé, ce type de sinistre est considéré comme inassurable par beaucoup d’assureurs.

En juin dernier, le directeur général du groupe Axa, Thomas Buberl, plaidait ainsi dans les colonnes du Parisien pour la création d’un « nouveau mécanisme à la manière du régime public / privé mis en place pour couvrir les catastrophes naturelles et les attaques terroristes ». Cette piste est sérieusement étudiée puisqu’en 2020, il avait été envisagé d’intégrer le cyber dans le régime d’assurance des catastrophes exceptionnelles. Finalement, en juin dernier, la direction générale du Trésor a créé un groupe de travail afin de se pencher sur un potentiel partenariat public / privé qui déchargerait les assureurs du risque catastrophique et « permettrait de libérer de la capacité pour les risques plus communs », espère Frédéric Grand. Mais certains mettent là encore en garde contre un risque de « déresponsabilisation » des entreprises et des assureurs. D’autres, comme Amanda Maréchal alertent sur « le risque systémique [qui] va au-delà du cadre national ».

Retrouvez la publication originale par Marie-Caroline Carrère sur L’Argus de L’Assurance.

Panier

Abidjan
Cote d'Ivoire

info@ematrix-nova.online

Tirez le meilleur de votre infrastructure informatique dans l'Espace du Client

© 2022 EMATRiX Nova.
Tous droits réservés.