Toutes les études le prouvent : les cyber attaques n’ont jamais été aussi nombreuses. Avec des risques sur la santé financière, voire la pérennité des entreprises.
Les cyber assurances continuent de rechercher leur modèle, entre protection des clients et équilibre économique. Suite à un rapport de la direction générale du Trésor sur le marché de la cyber-assurance, Bercy intégrerait dans un projet de la loi la possibilité d’être indemnisé en cas d’attaque par rançongiciel. Seule obligation pour les entreprises, le dépôt d’une plainte.
À la suite d’un rapport de la direction générale du Trésor sur ce marché, le ministère de l’Économie et des Finances a proposé en Conseil des ministres du 7 septembre, « une mesure dédiée aux cyber-rançons au sein du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) ».
La victime devra déposer une plainte pour être indemnisées « afin de renforcer son accompagnement et améliorer les opérations d’investigation des autorités de police, de justice et de gendarmerie », souligne le rapport. En théorie, les autorités martèlent aux entreprises de ne pas payer de cyber rançon. En pratique, les entreprises, notamment les PME-PMI, n’ont souvent pas d’autre choix que de payer pour récupérer l’accès à leur système ou à leurs données… mais elles déposent rarement plainte.
Structurer le secteur de la cyber assurance
La décision de Bercy devrait contribuer à structurer le secteur de la cyber assurance, dans un marché fébrile. Axa et Generali avaient cessé de proposer des contrats couvrant les dommages liés à des rançongiciels. Les parlementaires se sont également inquiétés d’un lien entre cyberattaque et cyber-assurance, les entreprises disposant d’une couverture devenaient ainsi une cible privilégiée des pirates, étant sûrs d’être payés. Guillaume Poupard, directeur général de l’Anssi, avait aussi taclé les assureurs qui « se focalisent sur les rançons et se dotent de capacités à négocier ».
Des préconisations et une task force
Le rapport du Trésor tente donc de clarifier le cadre juridique pour l’ensemble des acteurs. Outre l’indemnisation des victimes avec obligation d’un dépôt de plainte, l’administration plaide pour « un principe général d’inassurabilité des sanctions administratives », c’est-à-dire de ne pas couvrir les amendes potentielles liées à la non-conformité avec un cadre réglementaire, comme le RGPD.
Parmi les autres recommandations, le rapport donne des pistes de solutions : « l’assurance paramétrique qui permet le versement automatique d’une prestation établie en fonction d’un indice mesurable automatiquement, le développement de solutions d’auto-assurance telles que les captives de réassurance pourraient permettre de créer un marché de l’assurance du risque cyber ». Pour réfléchir à ces différentes propositions et à d’autres sujets (exclusion des actes de guerre, formulaire à remplir, etc.), une task force réunissant l’ensemble des acteurs serait installée fin septembre.
Sur AssuranceTV du 15 septembre dernier : Jules Veyrat, CEO de Stoïk, déclare « nous ne payerons pas les cyber-rançons pour nos assurés »
La cyber assurance est un sujet majeur pour les assureurs. L’Assurance en mouvement a consacré un plateau télé animé par Jean-Luc Gambey, sur la thématique « la cyber rançon : assurable ou pas », avec la participation de Jules Veyrat, CEO de Stoïk.