Pour gérer vos consentements :

Assurances cyber : comment changer les règles ?

Faut-il interdire aux assureurs d’indemniser les rançons que versent leurs clients victimes de cyberattaques ? On a pu entendre des appels en ce sens jusqu’aux sommets de l’appareil d’État.
Le législateur ne s’était pas encore formellement prononcé… jusqu’à la publication d’un rapport de l’Assemblée nationale. Plus précisément d’un groupe d’études « Assurance » que préside la députée Valéria Faure-Muntian (LaREM, Loire).

La proposition est sans équivoque : « inscrire dans la loi l’interdiction pour les assureurs de garantir, couvrir ou [indemniser] la rançon ». Le groupe de travail admet que les arguments juridiques qui la soutiennent (financement du terrorisme, incitation au « crime organisé », etc.) sont sujets à interprétation. Aussi, il invite à poser un regard pratique sur le phénomène : l’indemnisation encourage le paiement, qui encourage la cybercriminalité.

Et de pointer les effets potentiels d’une directive du Trésor américain datée d’octobre 2020.

Celle-ci réserve au gouvernement le droit d’infliger des sanctions aux payeurs de rançons. Elle explique peut-être pour partie l’augmentation des attaques en France, les criminels se reportant sur ce « marché » où les couvertures existent… et où ils peuvent tirer des profits.

Le rapport Faure-Muntian ne marque, en revanche, pas d’opposition à la couverture et à la prise en charge des amendes administratives. Il recommande néanmoins de subordonner l’activation des garanties de cyber-assurance à un dépôt de plainte auprès des services compétents.

Définir le cyber avant de l’encadrer

Avant d’adapter le cadre juridique, on aura eu soin d’harmoniser la définition des termes « cyber-risque » et « cyber-attaque ».

Pour le premier, le rapport préconise « ensemble de risques liés à une utilisation malveillante des systèmes informatiques et des technologies de l’information des particuliers, des administrations ou des entreprises ».

Pour le second, il propose « acte malveillant visant à altérer les systèmes d’information (logiciels, fichiers, ordinateurs, serveurs, téléphones mobiles…) ».

Dans l’absolu, c’est moins précis que la définition qu’en donne la Matmut : « Atteinte à des systèmes électroniques et/ou informatiques, des données informatisées (personnelles, confidentielles ou d’exploitation) à la suite d’un acte malveillant, une erreur humaine, une panne ou un problème technique. L’objectif est de détourner ou voler des données personnelles et/ou confidentielles, de paralyser l’activité de l’entreprise ou extorquer des fonds ».

Ou que celle de Northbridge Assurance : « risques de perte financière, d’interruption des activités ou d’atteinte à la réputation d’une entreprise en raison d’une défaillance des systèmes de technologies de l’information. Il peut s’agir d’une intrusion volontaire, involontaire ou liée aux technologies de l’information ».

En quête de cohérence

Le rapport formule aussi des propositions pour renforcer l’écosystème français de cybersécurité. Un constat se détache à son propos : le « manque de lisibilité dans la cohérence d’ensemble ». Il s’applique plus particulièrement aux dispositifs de lutte contre la cybercriminalité. Parmi eux :

– La SDLC, une sous-direction de la police judiciaire du ministère de l’Intérieur

– La BL2C au sein de la préfecture de police de Paris

– Rattachées à Bercy, la cellule Cyber douane de la DNRED, Tracfin et le service national des enquêtes de la DGCCRF

– Le C3N et le ComCybGend chez la gendarmerie nationale

Pour ces organes, les recommandations consistent essentiellement en un renforcement des moyens matériels, financiers et humains. En première ligne, le GIP ACYMA (Cybermalveillance.gouv.fr).

Du côté des fournisseurs, outre le manque de coordination, est la difficulté d’accéder à la certification de l’ANSSI. Sur ce point, le rapport préconise d’instaurer des certifications intermédiaires. Elles permettraient aux entreprises du secteur de travailler avec les TPE/PME/ETI et collectivités. Tout en favorisant la collaboration avec l’industrie de l’assurance.

Sensibilisation… et contraintes

Le rapport n’élude pas la nécessité d’actions de sensibilisation auprès des salariés. Elles font d’ailleurs l’objet d’une proposition. Tout comme :

– La création de prérequis en matière de cybersécurité pour les entreprises comme pour les collectivités

– L’orientation de certaines aides publiques vers les audits de cybersécurité

– L’obligation de se doter d’une police d’assurance cyber pour les entreprises qui travaillent pour et/ou avec l’État et/ou des OIV/OSE

Vers des offres cyber hybrides ?

Certaines propositions visent à dynamiser le marché. En l’état, constate le groupe de travail, les offres sont « concentrées aux mains d’un petit nombre de porteurs de risques ». Et qui viennent historiquement des États-Unis ou du Royaume-Uni. Ce qui pose la question de l’accès à la structure et aux secrets des affaires des assurés.

L’un des leviers pourrait se trouver dans la formation des réseaux de distribution. « Le taux de pénétration ne s’améliorera pas sans une formation particulière des agents », nous explique-t-on. Qu’il s’agisse des réseaux salariés, des agents généraux ou des courtiers en assurance.

Parmi les autres recommandations :

– Inciter à la création d’un mécanisme d’évaluation des offres de cyber-assurance

– Harmoniser les critères d’analyse des cyber-risques entre les assureurs

– Créer une nouvelle branche d’assurance dédiée à la cyber

– Développer des solutions hybrides de cybersécurité et de cyber-assurance pour les PME et les collectivités

Illustration principale © Askhat – Adobe Stock

Recent Posts

Chrome OS : un canal dédié aux mises à jour pour les entreprises

Le cycle de vie de Chrome OS va évoluer fin novembre. Google annonce des mises…

5 jours ago

Windows 11 : ce qui change pour la migration depuis Windows 10

Comment gérer le passage de Windows 10 vers Windows 11 ? Le modèle « Windows…

2 semaines ago

Comment Mesh-Teams va incarner le métavers chez Microsoft

Microsoft veut connecter Teams et sa plate-forme Mesh, axée sur la collaboration en AR/VR. Son…

4 semaines ago

SaaS : les précautions à prendre avant de signer un contrat

Quel sont les points essentiels à qualifier dans la cadre de la signature d'un contrat…

1 mois ago

Stockage et collaboratif : Box dévoile ses nouveautés jusqu’à 2022

Le spécialiste du stockage collaboratif dans le Cloud dévoile sa roadmap de mises à jour…

2 mois ago

Assurances cybersécurité : pourquoi la France est à la traîne

Hausse des primes et des franchises, baisse des capacités et des couvertures...Selon l'AMRAE, souscrire une…

2 mois ago