Ce soir ?

Numérique : les cyberattaques bientôt remboursées par les assurances ?

Written by admin


Un dilemme pour l’État. Faut-il obliger les assurances à rembourser les entreprises victimes de cyberattaques réclamant une rançon, au risque de favoriser une économie souterraine ? Selon nos confrères de L’Express, le ministère de l’Économie a pris une position claire : « éviter la mort des petites et moyennes entreprises touchées par une attaque ». Cette phrase est issue d’un rapport publié par Bercy, mercredi 7 septembre, et qui évoque le « développement de l’assurance cyber », notamment par le dépôt devant le parlement d’un projet de loi sur ce thème. Selon le ministère, la loi constituerait « un point d’équilibre » entre la volonté de ne pas financer « l’écosystème » des pirates et celle de ne pas mettre en danger les entreprises victimes.

Cette mesure, évoquée dans le rapport publié mercredi, s’inscrit dans un projet plus large : le projet de loi d’orientation et de programmation du ministère de l’Intérieur. Une sorte de variante de la loi de programmation militaire, utilisée pour les questions de Défense. Selon les premiers éléments du projet gouvernemental, l’indemnisation par une assurance de la rançon versée par l’entreprise sera conditionnée à l’existence d’une plainte.

Avec ce projet, le gouvernement d’Élisabeth Borne a fait son choix. La position du gouvernement était, d’ores et déjà connue puisqu’elle figurait déjà dans un projet présenté aux assureurs en mars dernier. En effet, si le haut comité juridique de la Place financière de Paris – une sorte de conseiller indépendant sur les thématiques juridiques impactant l’activité économique – plaidait en faveur d’une telle mesure, celle-ci ne faisait pas l’unanimité. En effet, un rapport parlementaire d’une députée de la majorité présidentielle déconseillait d’autoriser de telles indemnisations. Tout comme l’Agence nationale de la sécurité des systèmes d’information, organisme public chargé de donner des préconisations en matière de défense numérique.

À LIRE AUSSILe cyber, clé de la guerre de demain

Un véritable fléau dans les plus grandes entreprises

Contrairement à ce que l’on aurait pu attendre, les assureurs accueillent favorablement cette annonce. Et pour cause. Si elle met en place une nouvelle obligation, elle a surtout le mérite de poser un cadre légal à une situation où le flou juridique résidait jusqu’ici. En effet, pour l’heure, une assurance a le droit – sans y être obligée – de proposer une telle prestation dans ses contrats. Néanmoins, de nombreuses enseignes avaient renoncé pour ne pas se voir accusées de financer les cybercriminels. En mai 2021, Axa France avait suspendu la commercialisation de l’option « cyber rançonnage », le temps que le cadre d’intervention de l’assurance soit précisé, et avait été suivi par Generali France début 2022.

D’autant que, d’un point de vue strictement commercial, la protection « cyber » représente un véritable marché pour les assureurs. Ainsi, en 2021, plus d’une grande entreprise sur deux avait subi une cyberattaque, selon le baromètre du Club des experts de la sécurité de l’information et du numérique. Du côté des forces de l’ordre, plus de 100 000 procédures avaient été ouvertes en 2020 par la gendarmerie, un indicateur en hausse de 21 % sur un an. Avec cette légalisation des indemnisations, Bercy entend rattraper « son retard sur les États-Unis », comme l’écrit son ministère dans le rapport publié mercredi. « Une task force dédiée à l’assurance du risque cyber, associant les acteurs concernés, sera mise en place d’ici à la fin du mois de septembre », indique-t-on aussi.

À LIRE AUSSIComment faire face à « l’industrialisation de la cybercriminalité »

Du côté des assureurs, « c’est un risque qu’on a encore un peu du mal à appréhender », expliquait début septembre Bertrand Romagné, président de l’Association des professionnels de la réassurance en France (Apref), pour justifier la frilosité du secteur à cet égard.

Leave a Comment