Cyber-assurance – Un marché encore confidentiel

Face aux menaces accrues de cyber-attaques, notamment de ransomware, certaines entreprises choisissent d’assurer une partie de leur risque. Une assurance peut-elle couvrir les conséquences d’une non-conformité aux exigences du RGPD ? Quid du risque de cyber rançonnage ? Les assureurs peuvent-ils invoquer l’exclusion légale du risque de guerre face aux menaces cyber ?

Dans son récent Rapport sur l’Assurabilité des Risques Cyber, le Haut Comité Juridique de la Place Financière de Paris (HCJP) notait que conformément aux RGPD, un non-respect de la protection des données personnelles par les entreprises entraînait des risques cyber pouvant engager leur responsabilité en cas de vol ou corruption de données.

« Si juridiquement les amendes administratives et sanctions pécuniaires pour non-conformité sont par nature inassurables, certaines mesures de mise en conformité dites correctrices selon l’article 58 § 2 du RGPD, peuvent être légalement assurables dans certains cas, » indique le groupe d’experts.

En matière de cyber rançonnage, les législations françaises et étrangères n’interdisent pas l’assurabilité du remboursement des rançons ; elles la subordonnent toutefois à certaines conditions (lutte contre le blanchiment et le terrorisme).

Aussi, le HCJP propose de compléter ce dispositif avec des mesures opérationnelles (obligation/ facilitation du dépôt de plainte…), et invite les assureurs « à préconiser des mesures de prévention pour la souscription du contrat d’assurance et l’indemnisation ».

Il suggère aussi de clarifier les textes nationaux et européens sur les obligations de ces derniers en matière de remboursement des rançons cyber, tout en prônant une sensibilisation accrue des acteurs au niveau international, et « un texte trans-sectoriel renforçant la cyber sécurité de l’ensemble des opérateurs (…) compte tenu du caractère mondial du risque cyber ».

Il préconise aussi « la traçabilité totale des transactions de cryptomonnaies et une régulation accrue et harmonisée du marché des crypto-actifs, pour réduire les risques liés à ces actifs ».

Assurer la cyberguerre

Par ailleurs, les assureurs peuvent-ils en cas de conflit cyber invoquer l’exclusion légale du risque de guerre selon l’article L121-8 du Code des assurances ?

Le HCJP déplore « le caractère daté de la jurisprudence sur l’interprétation de l’article », qui rend la portée de cette exclusion légale en cas de cyberguerre difficilement mesurable.

Il juge donc opportune une clarification des limites de l’assurabilité des dommages générés par un acte de cyberguerre et préconise de compléter le texte par une définition de la notion de guerre étrangère offrant « une claire compréhension de la part des assurés, et incluant le conflit armé international, quels que soient les moyens utilisés (militaires ou cybernétiques) et les auteurs, dès lors qu’un État a opéré un contrôle sur l’action en cause ou les individus impliqués ».

Mais le marché de la cyber-assurance est-il suffisamment mature ? La Fédération Française de l’Assurance (FFA) l’estime à 135 millions d’euros, alors que les primes d’assurance de dommages atteignent quant à elles 60 milliards d’euros.

De leur côté, les sociétés sous-estiment l’impact des incidents cyber sur leurs activités, relève le HCJP : « soit elles trouvent le surcoût de ce type d’assurance exagéré par rapport à leurs contrats traditionnels, soit elles n’identifient pas clairement le contenu des offres proposées. (…) Seules 8% des entreprises de taille intermédiaire ont souscrit une assurance cyber ».

Dans un rapport sur la cyber-assurance déposé à l’Assemblée nationale, la députée Valéria Faure-Muntian indique : « les grands groupes sont au fait des risques cyber, mais les entreprises plus modestes et les collectivités territoriales demeurent bien souvent démunies tant techniquement que juridiquement face aux cyber agressions. De même, alors que la demande de cyber-assurance augmente, on note une rétractation de l’offre ».

L’élue estime donc qu’une prise de conscience et un comportement cyber adéquat des assurés est nécessaire, ajoutant que « les assureurs devraient déverrouiller les freins au développement en France d’un marché mature de la cyber-assurance ».

Moins de rétractations chez ces derniers, et plus de données partagées par les assurés. Plus d’informations pour mieux cartographier les risques et ainsi, plus d’offres de cyber-assurance adaptées : « La levée de ces réserves est un levier nécessaire à l’enclenchement d’un mouvement vertueux pour le fonctionnement de ce marché, » conclut-elle.