Alors que le numérique prend une part toujours plus importante dans la vie des citoyens, la récente crise sanitaire a prouvé, s’il le fallait, que le cyber serait le théâtre des prochains défis sécuritaires. La cyber-assurance jouera un rôle clé pour venir limiter l’impact néfaste des actions de cyber-malveillance. Comment ?
Eléments de réponse avec Valéria Faure-Muntian, députée de la Loire, qui présente en direct des Assises de Monaco son rapport parlementaire « La cyber-assurance » qui propose des voies d’amélioration jugées nécessaires dans un contexte toujours plus risqué pour les entreprises, qui peinent à se couvrir.
Par Corentin Dionet
Un contexte propice au risque cyber
En causant une hausse du télétravail, l’épidémie de la Covid-19 a décuplé l’espace ciblé par les cybercriminels. Cela s’explique notamment du fait de « l’interpénétration des usages numériques personnels et professionnels » explique Valéria Faure-Muntian. Le constat est clair, « se protéger soi-même c’est aussi protéger ses collègues, son entreprise, et ses administrés pour les collectivités ». Pour répondre aux diverses menaces, il apparait nécessaire de sensibiliser, faire un état des lieux des vulnérabilités, puis prendre des mesures techniques et organisationnelles. Quant à la gestion des risques résiduels, elle passera par la création d’une offre de cyber-assurance « adaptée aux contraintes et réalités du marché (…) quelle que soit la taille de la structure couverte ».
Mais le risque cyber est tel que la baromètre annuel des risques édité par Allianz en janvier 2020, l’identifie comme la première menace pour l’économie française et le qualifie de risque systémique. « [Il] est considéré même comme inassurable par certains acteurs du marché français. » Et Guillaume Poupard, directeur général de l’ANSSI, d’ajouter : la cybercriminalité s’est structurée et professionnalisée au fil du temps, grâce à un modèle dont la rentabilité est extrêmement élevée. Cela a pour conséquence l’explosion du nombre des attaques et du montant des rançons.
Les cyber-assureurs: des acteurs clés
Les cyber-assurances ont donc un rôle clé à jouer. Elles peuvent avoir un pouvoir incitatif en poussant les structures à suivre les bonnes pratiques de cybersécurité. En offrant la possibilité de réaliser des audits, ces cyber-assurances se placent en acteurs centraux de la résilience nationale.
Pour autant, il existe plusieurs problématiques à signaler dans le champ français de la cyber-assurance. Des acteurs extra-européens ont, au moins en partie, la main sur le marché dans l’hexagone. A cela s’ajoute une inégalité dans la connaissance et la préparation des acteurs face au risque cyber. Enfin, alors que la demande pour de la cyber-assurance augmente, l’offre se rétracte.
Trois grands axes – législatif et normatif, politique, et souveraineté – figure parmi les recommandations délivrées par la députée Valéria Faure-Muntian. Le rapport préconise de donc de clarifier et de définir les termes propres au champ du risque cyber, avant de délimiter une législation efficace susceptible de le réguler. D’une part, les définitions juridiques du cyber-risque, de la cyber-attaque doivent ainsi être adoptées. D’autre part, les régimes applicables au paiement des rançons, au paiement des amendes administratives et à l’activation des garanties assurantielles doivent être consacrés.
Passer par la loi et la norme…
En ce sens, l’une des propositions de ce rapport consiste à définir le risque cyber comme : « un ensemble de risques liés à une utilisation malveillante des systèmes informatiques et des technologies de l’information des particuliers, des administrations ou des entreprises ». A cela s’ajoute la volonté « d’inscrire dans la loi l’interdiction pour les assureurs de garantir, couvrir ou d’indemniser la rançon et se porter davantage vers la prévention, l’accompagnement et l’assurance des conséquences pour une entreprise ». Les réfractaires seraient sanctionnés dans ce cas de figure.
D’autre part, la députée de la Loire appelle à augmenter les moyens « humains, financiers et matériels des services de la justice, de la police et de la gendarmerie chargés de la lutte contre la cybercriminalité ». Une mesure à laquelle s’ajouterait, par exemple, l’allongement du temps de formation des magistrats en matière de cybersécurité. Dans cette même optique, le rapport suggère de subordonner la cyber-assurance à un dépôt de plainte auprès des services compétents.
Le rapport entend garantir la résilience et la défense des entreprises et des collectivités françaises face à cette nouvelle menace en renforçant l’écosystème français de la cybersécurité, aujourd’hui éclaté, et en renforçant l’influence et la coopération des différents acteurs privés et institutionnels. Valéria Faure-Muntian recommande de favoriser l’émergence d’un écosystème regroupant les assurances et les entreprises françaises du cyber, en y incluant obligatoirement les secteurs stratégiques.
Pour garantir la souveraineté
Il existe un véritable sujet concernant la souveraineté dans le champ des cyber-assurances. Inciter à la création d’une agence de notation européenne en réponse aux agences anglo-saxonnes permettrait de répondre partiellement à ce déficit de souveraineté.
Dans le but de dynamiser le marché de la cyber-assurance, la députée de la Loire pousse des voies d’amélioration de l’offre pour une couverture suffisamment importante afin de sécuriser notre économie. Aujourd’hui, le marché de l’offre s’avère déséquilibré et concentré, avec une couverture inégale, alors même qu’il s’agirait d’un vecteur indispensable de prévention. Face à ce constat, il paraît nécessaire de mieux organiser le marché en renforçant l’offre auprès des entreprises, et en développant des solutions innovantes. Un équilibre doit être recherché en associant une demande sensibilisée, alerte et soucieuse de sa sécurité, avec une offre cohérente, adaptée et suffisamment compétitive pour convaincre les entreprises.
« Prévention, acculturation et formation sont des étapes nécessaires, en sus de la souscription à une assurance cyber ». Il est donc nécessaire de communiquer sur l’existence des mécanismes de défense numérique qui fonctionnent, tout en élargissant leurs prérogatives et moyens. Valéria Faure-Muntian insiste donc sur la nécessité de poursuivre la politique de sensibilisation et d’audit menée par le gouvernement. En clair, « la cyber-assurance doit être partie prenante de la stratégie française de la cybersécurité ».