Alors que les cyberattaques connaissent une croissance exponentielle, le marché de l’assurance des risques cyber demeure aujourd’hui un « marché de niche » en France.
Dans son rapport Le développement de l’assurance du risque cyber publié le 7 septembre 2022, le ministère de l’Économie suggère le développement de ce marché, par un plan d’actions en quatre axes :
- clarifier le cadre juridique de l’assurance du risque cyber ;
- mieux appréhender et mesurer le risque cyber ;
- améliorer le partage du risque entre assurés, assureurs et réassureurs ;
- accroître les efforts de sensibilisation des entreprises au risque cyber.
Le risque cyber est défini dans ce rapport comme « un risque opérationnel portant sur la confidentialité, l’intégrité ou la disponibilité des données et des systèmes d’information ».
Le rapport soulève que peu de PME et d’ETI sont assurées contre ce risque : « 84% des grandes entreprises sont couvertes, pour seulement 9% des ETI en 2021. Pour les PME, le taux de couverture est inférieur à 0,3% ».
Comment dynamiser le secteur de l’assurance des risques cyber pour favoriser la résilience des entreprises ? Quelles propositions normatives sont faites par ce rapport ?
La nécessité de sensibiliser les entreprises au risque cyber
La sensibilisation des entreprises aux risques cyber, notamment des PME et ETI, pourrait, selon le rapport, stimuler la demande d’assurance.
Il est ainsi suggéré de diffuser des « standards communs de cybersécurité » (référentiels) pour que les entreprises parviennent à mesurer le risque auquel elles sont exposées et investir ainsi davantage pour leur cybersécurité. Ces référentiels seraient adaptés au niveau de maturité de l’entreprise ainsi qu’à sa structure organisationnelle, et ne devraient pas « alourdir [leur] charge administrative ».
L’adaptation et le développement de l’offre de formation initiale et continue au risque cyber est un autre levier de sensibilisation proposé par le rapport. Il s’agit de former les professionnels de l’assurance à ce risque particulier. Cela pourrait notamment être développé par l’ANSSI, les fédérations professionnelles et les centres de formation.
Mettre fin à l’insécurité juridique autour de l’assurance du risque cyber
- Les incertitudes relatives au cadre juridique de l’assurance du risque cyber
Ces dernières années, l’absence de cadre juridique clair a entraîné plusieurs compagnies d’assurance à suspendre leurs offres de couverture en matière de rançonciels.
Pour clarifier l’étendue des garanties cyber, le rapport recommande l’adoption de « bonnes pratiques de rédaction des contrats, voire une obligation renforcée d’information ». Il précise par ailleurs que ces bonnes pratiques pourraient se matérialiser par une communication de l’Autorité de contrôle prudentiel et de résolution (ACPR), ce qui permettrait d’envoyer un « signal fort » aux acteurs concernés.
Le rapport suggère aussi que la fédération française de l’assurance élabore, par exemple, un « guide de place rappelant le cadre juridique et proposant des bonnes pratiques de rédaction aux professionnels ».
- Quid de la légalité des clauses permettant le remboursement du paiement des rançons
En France, aucun texte n’interdit explicitement l’assurabilité du paiement des cyber rançons. Celle-ci était toutefois, déconseillé par les autorités publiques.
Bercy propose d’autoriser le paiement des rançons par les assureurs, mais en veillant à « conditionner l’assurabilité du paiement des rançons au dépôt de plainte par la victime [dans un délai de 48h] » pour permettre « de préserver la viabilité d’entreprises contraintes de s’acquitter de la rançon en dernier recours sans mettre en péril la répression de la cybercriminalité. ».
Cette suggestion est reprise dans le projet de loi d’orientation et de programmation du ministère de l’intérieur 2022-2027, présentée en Conseil des ministres le 7 septembre 2022. Son article 5 vise effectivement à créer un nouvel article dans le Code des assurances, lequel disposerait que :
« Le versement d’une somme en application d’une clause assurantielle visant à couvrir le paiement d’une rançon par l’assuré dans le cadre d’une extorsion prévue à l’article 312‑1 du code pénal, lorsqu’elle est commise au moyen d’une atteinte à un système de traitement automatisé de données prévue aux articles 323‑1 à 323‑3‑1 du même code, est subordonné à la justification du dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard 48 heures après le paiement de cette rançon. ».
A cet égard, il convient de souligner que cette proposition apparait en partie en décalage avec les positions prises par l’ANSSI. En effet, rappelons qu’au sein du guide de sensibilisation Attaques par rançongiciels, tous concernés, publié en partenariat avec la Direction des Affaires criminelles et des grâces (DACG) du ministère de la Justice, l’ANSSI formulait entre autres conseils : ne pas payer la rançon, déposer plainte.
- Un principe général d’inassurabilité des sanctions administratives
Comme le rappelle le rapport, en principe, « la couverture des conséquences des sanctions administratives contrevient au principe constitutionnel de personnalité des peines. ».
Pour être conforme à ce principe et inciter les entreprises à investir dans leur cybersécurité et à se conformer au règlement général sur la protection des données (RGPD), le rapport suggère de poser un cadre légal interdisant explicitement l’assurabilité des sanctions administratives. Cela rendrait par exemple impossible le remboursement d’une amende administrative prononcée par la Cnil.
Mathias Avocats vous tiendra informé des évolutions en la matière.