Cyber-assurance: payez, vous êtes phishé… Vraiment?

La parution en septembre d’un rapport de la Direction Générale du Trésor sur le risque cyber et le développement des assurances associées a fait l’effet d’un tsunami dans le monde de la cybersécurité française. La proposition d’un cadre réglementaire¹ concernant l’indemnisation des entreprises victimes d’attaques par ransomware a divisé le secteur. L’occasion de faire le point sur le marché de la cyber-assurance, où, en dépit d’un contexte porteur, beaucoup reste encore à faire pour des effets que d’aucuns jugent limités.

Par Sarah Pineau

Un système assurantiel qui renaît à peine de ses cendres

Pour les cyber-assureurs, l’année 2020 restera, au-delà du seul Covid-19, dans les annales ; en effet, selon Alain Bouillé délégué général du Club des experts de la sécurité de l’information et du numérique (CESIN), le système a été « au bord de la faillite ». En cause, une explosion de la sinistralité des grandes entreprises majoritaires² dans la clientèle des assureurs. Jusque là positif, le rapport entre collecte des primes et indemnisation des dégâts s’est inversé : en 2020, le ratio de sinistres / primes a ainsi été de 167 %³. Pour relever la barre, les assureurs du risque cyber n’ont eu d’autre choix que d’augmenter les primes demandées à leurs clients pour couvrir le risque, et de conditionner l’indemnisation de celui-ci à des exigences très, voire trop élevées. Certes, le système est revenu à l’équilibre en 2021 avec un ratio de sinistres / primes tombé à 88% mais, dans le même temps, la satisfaction de ceux qui y ont recours « a baissé » déplore Alain Bouillé. Ainsi, 4% des grandes entreprises n’ont pas renouvelé leur contrat et plus d’une entreprise sur 10 hésite à souscrire de nouveau. Christophe Madec, expert cybersécurité chez Bessé, parle « d’effet ciseaux » pour expliquer la situation : la mise à mal du modèle assurantiel cyber a entraîné « un appétit limité » de la part des assureurs pour couvrir le risque avec la volonté « de ne plus être en première ligne », d’où un effet mécanique sur le niveau des primes et des franchises. Dans ce contexte délicat, les annonces de Bercy n’ont pas calmé les esprits.

Une évolution du cadre réglementaire qui fait débat

En septembre, le CESIN a ainsi estimé que la mesure de Bercy serait de nature à « encourager le cybercrime ». Alain Bouillé précise : « une telle disposition va inciter les entreprises à payer la rançon plutôt qu’à miser sur le renforcement de la robustesse de leur système informatique », ouvrant de fait, la voie à de nouvelles attaques.

Les professionnels des assurances sont, eux, plus mesurés. Christophe Madec estime que la mesure de Bercy ne fait que reconnaître une « pratique de marché » : certains assureurs payent déjà la rançon, quoique cette pratique reste très marginale au regard du nombre d’entreprises sinistrées. Et, en réalité, la disposition de Bercy n’en fait nullement une obligation : simplement, elle conditionne l’indemnisation de l’entreprise victime à un dépôt de plainte auprès des services de police compétents. Quentin Guerineau, co-auteur du rapport du Trésor, est formel : « Dans tous les cas, la recommandation du Trésor est de ne pas payer, c’est une solution de dernier recours ».

Quid des débats qui voudraient purement et simplement interdire le paiement d’une rançon ? S’il peut en comprendre la logique, Jules Veyrat, co-fondateur et CEO de Stoïk, entreprise spécialisée dans le développement des assurances cyber à destination des PME/ETI, ne la soutient pas : « interdire le paiement d’une rançon conduirait à un défaut de compétitivité des entreprises françaises. Mieux vaut accompagner celles-ci à développer une politique de cybersécurité robuste en faisant preuve de pédagogie et en misant sur la prévention ».

Une cyber-résilience toujours à la peine

Il est vrai que sur ce point les chiffres sont sans appel. Seules 0,3% des PME et 9 % des ETI françaises sont assurées contre les conséquences potentiellement dévastatrices d’une attaque informatique. La faute, entre autres, à une absence de définition juridique solide du risque cyber, selon Valeria Faure-Muntian, députée de la Loire et auteure d’un rapport parlementaire⁴ sur le sujet en 2021. Dans ses travaux, l’ex-présidente du groupe d’étude parlementaire « Assurances », relevait que ce flou juridique brouillait le régime applicable au paiement des rançons et des amendes administratives en plus de constituer un obstacle à l’activation des garanties assurantielles. Aussi, peu sûres d’être indemnisées en cas de problèmes, les PME et ETI préfèrent consacrer leur trésorerie à d’autres investissements.

Malheureusement, ce comportement n’aide pas à la cyber-résilience et c’est aussi l’argument de Bercy pour rendre obligatoire le dépôt de plainte en cas d’indemnisation d’une attaque par rançongiciel : pour vaincre son ennemi, il faut le connaître… Or, les entreprises victimes de cyberattaques étant peu enclines à témoigner de leurs déconvenues, il est très difficile pour les services de police d’assurer une bonne traçabilité des cyberattaques qui permettrait pourtant de mieux les combattre.

Cependant, l’adage mieux vaut prévenir que guérir conserve toute sa pertinence dans le domaine cyber ! Pour Jules Veyrat, « un modèle assurantiel pérenne n’est possible qu’à condition que la maîtrise du risque soit meilleure » et pour cela l’ensemble des parties prenantes doit se mettre autour de la table : entreprises, institutions et assureurs. Les analyses de risques et l’approche par la quantification des risques pourraient ainsi permettre des avancées notoires. De quoi FAVORISER par exemple, la co-construction « des solutions assurantiellesadaptées aux PME/ETI et certifiées par l’ANSSI » suggère-t-il. Ainsi rassurées par une offre assurantielle accessible et correspondant à leurs besoins, ces entreprises seraient plus nombreuses à se couvrir et à développer une politique de cybersécurité mature, ce qui aurait pour effet positif de rassurer les assureurs sur leur ratio sinistres / primes donc de faciliter l’activation des garanties assurantielles.

Là où il y a la volonté, il y a un chemin…

1^ Article 5 du Projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) en cours d’examen au Parlement à l’heure où cet article est rédigé

2^ Les grands comptes représentent 83% du volume des primes versées en matière de cyberassurance

3^ Chiffre issu de la 1^ère édition du rapport « Lucy » – Lumière sur la cyberassurance – de l’Association pour le management des risques et des assurances en entreprises (AMRAE), mai 2021, [Disponible : https://www.amrae.fr/bibliotheque-de-amrae?ref_id=3214&ref_type=publication]

4^ Rapport disponible en ligne : https://www.valeriafauremuntian.com/_files/ugd/50f22c_361ca4c49de74364b3ff2058441fd0a7.pdf