Les cyberattaques constituent aujourd’hui le « cauchemar » des assureurs. À tel point que certains experts considèrent ce risque comme inassurable. Une position inquiétante lorsque l’on connaît les impacts que les cyberattaques peuvent avoir sur les entreprises… jusqu’à la faillite. Les pouvoirs publics s’emparent du sujet.
Le Lloyd’s of London exige des groupements qui y sont réunis qu’ils ne protègent plus les entreprises contre les pertes liées à des attaques réseautiques organisées par des États, en raison des risques systémiques que poserait un acte de grande ampleur, comme l’explique un article des Échos.
Durant l’été 2022, le Lloyd’s annonçait à tous les assureurs opérant sur cette bourse qu’ils ne pourraient plus proposer des polices d’assurance contre les cyberattaques étatiques, y compris hors guerre. « Les couvertures de cyberattaques par des États exposent les assureurs à des risques systémiques qu’ils pourraient avoir des difficultés à assumer », pouvait-on lire dans une note. « Les pertes induites pourraient nettement excéder ce que le marché est capable d’absorber. » L’interdiction vient d’entrer en vigueur.
Les pertes consécutives à des actes de guerre sont historiquement exemptées des polices d’assurance en raison des coûts astronomiques qui peuvent en découler. Mais les cyberattaques échappaient jusqu’à présent à cette exclusion. La décision du Lloyd’s est avant tout un appel lancé aux assureurs pour clarifier leurs contrats, dans des contextes opaques où l’ambiguïté est en soi une stratégie militaire, où deux pays ou blocs peuvent être en guerre sans être en guerre, être menaçants sans revendiquer certaines de leurs attaques, et déstabiliser tout un pays sans faire le moindre mort.
45 % des entreprises impactées par une cyberattaque
En 2022, pas moins de 831 « intrusions avérées » dans des systèmes d’information français qui ont été signalées à l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Pire, selon Le Club des experts de la sécurité de l’information et du numérique (CESIN), 45 % des entreprises ont souffert des conséquences d’une cyberattaque réussie en 2022. Un niveau de menace bien identifié par la plupart des grandes sociétés, comme en témoigne, le dernier Baromètre 2023 des risques d’Allianz.
Les 2 712 chefs d’entreprise, directeurs des risques, courtiers et spécialistes de l’assurance sondés par l’assureur ont placé la cybermenace tout en haut de la pile des dossiers les plus périlleux pour leur business. Autre étude, même tendance. Dans sa dernière “cartographie prospective des risques”, le syndicat professionnel France Assureurs l’affirme : « Le risque de cyberattaques se maintient en tête du classement des risques pour les entreprises d’assurance et de réassurance ».
Un risque en passe de devenir inassurable ?
Pour amortir l’impact potentiellement dévastateur d’un hacking, les grandes sociétés françaises ont la possibilité de souscrire à des « cyberassurances ». Elles comprennent généralement trois volets : une assistance technique et à la gestion de crise, une responsabilité civile et, enfin, une partie dommage qui couvre notamment la perte d’exploitation consécutive à la cyberattaque, analyse un article de L’Opinion. Selon une étude de l’association des gestionnaires de risque en entreprise, l’AMRAE, 84 % des grandes entreprises françaises ont opté pour cette solution. Oui, mais voilà, fin 2022, Mario Greco, patron de Zurich Insurance, générait des inquiétudes par ses déclarations alarmantes au Financial Times sur un risque cyber qui serait en passe de « devenir inassurable ».
Et la couverture assurantielle semble diminuer. De grandes entreprises ont renoncé à souscrire à une assurance alors qu’elles en possédaient une auparavant, c’est un signal très fort. Les explications résideraient dans l’augmentation forte des franchises, la réduction du capital assuré et un doublement des taux moyens.
Autre signe révélateur d’une tension entre les assureurs et leurs clients, quelques grands industriels français, belges et allemands ont lancé en 2022, Miris, leur propre compagnie d’assurance ! Objectif : s’assurer mutuellement pour récupérer jusqu’à 25 millions d’euros de couverture en risque cyber.
Les pouvoirs publics s’impliquent
Face au risque cyber, les autorités ne restent pas les bras croisés. Le ministère de l’Économie a ainsi lancé un plan d’action et clarifié le cadre juridique de l’assurance du risque cyber. Par amendement à la loi LOPMI consacrée à la sécurité, le gouvernement a nettoyé ce statut en actant, notamment, la possibilité pour les assureurs de rembourser le paiement de rançons en cas de cyberattaque. Et ce, à la condition que les victimes déposent plainte sous 72 heures. Bpifrance a lancé le 20 mars un « diagnostic de cybersécurité » pour les PME, tandis que le projet de décret sur le cyberscore, qui vise les plateformes grand public et doit entrer en vigueur en octobre 2023, a été mis en consultation le 22 mars.
La cyber assurance est une thématique qui devrait impacter considérablement le monde de l’assurance. L’Assurance en mouvement continuera de vous informer régulièrement sur ce sujet.