Cyberassurance : des pistes pour améliorer la protection des entreprises

Un rapport mené par la députée Valéria Faure-Muntian, qui dresse un état des lieux du marché de l'assurance cyber, recommande d'interdire la couverture des rançons en cas de cyberattaque, et d'explorer de nouvelles pistes pour rendre le marché plus efficace.

Cyberassurance : des pistes pour améliorer la protection des entreprises © Michael Geiger

La députée LREM de la Loire Valéria Faure-Muntian a présenté le 13 octobre, dans le cadre des Assises de la cybersécurité à Monaco, un rapport sur la cyberassurance, qui conclut un travail de six mois. Ce rapport dresse une liste de 20 propositions destinées à améliorer la couverture des entreprises face à l'explosion des cyberattaques. Selon l'assureur Hiscox, le nombre d'entreprises visées par une cyberattaque en France est passé entre 2019 et 2020 de 34% à 49%. Et d'après IBM, le coût des cyberattaques pour les entreprises a augmenté de 12% sur les cinq dernières années.

Alors que 51% des entreprises françaises s'estiment plus vulnérables depuis le début de la crise sanitaire, cela ne se retrouve pas dans les souscriptions d'assurance, en progression de 1% seulement par rapport à 2019. Une étude de l'Association pour le Management des Risques et des Assurances de l’Entreprise (Amrae) indique que 87% environ des grands groupes détiennent un contrat d’assurance cyber, contre 8% des ETI, 1% des collectivités et moins de 0,01% des PME.

Interdire le paiement des rançons
L'une des principales propositions du rapport consiste à inscrire dans la loi l’interdiction pour les assureurs de garantir et d'indemniser le paiement des rançons, en cas d'attaque par rançongiciel.

Selon le rapport, 14% des entreprises françaises ont déjà fait l’objet d’une cyberattaque avec une demande de rançon. Or, à l'heure actuelle, il n’existe pas d’interdiction formelle pour les assureurs de couvrir ce type de rançon dans le cadre d’une police d’assurance cyber. L'assureur Hiscox estime qu'une entreprise sur six qui a connu un incident de ce type en 2020 en France, et que 65% ont payé la rançon. Ce qui aurait tendance à inciter les cybercriminels à poursuivre leurs méfaits. Le rapport recommande donc de suivre l'exemple américain, en sanctionnant les entreprises qui s'acquittent des rançons.

Structurer le marché de la cyber-assurance
Le marché de la cyber assurance, qui représentait 130 millions d'euros en France en 2020 selon l'Amrae, souffre de plusieurs handicaps listés par le rapport. Un petit nombre d'assureurs concentrent l'offre, essentiellement portée par des acteurs anglo-saxons (AIG, Chubb, Axis, Liberty Mutual…), ce qui rend le marché peu concurrentiel. D'un autre côté, les assureurs manquent de données et se montrent frileux.

Cette frilosité est liée au manque de recul sur ce risque relativement récent, au défaut de mesures de prévention prises par les entreprises, mais aussi à la diminution des capacités mises à disposition globalement par les assureurs et les réassureurs, c'est-à-dire leur prise de risque financière. Au bout du compte, les entreprises ont de plus en plus de mal à s'assurer contre le risque cyber. Une solution, selon le rapport, serait de rendre le régime français des captives d’assurance et de réassurance (sociétés d'assurance créées par et pour les entreprises) plus compétitif.

Envisager les partenariats public-privé
L'autre problème est que le niveau des garanties est bien trop bas pour protéger les entreprises. Le rapport relève qu'en moyenne, les grands groupes sont couverts à hauteur de 38M€ pour un chiffre d’affaires annuel de plus d’1,5 milliard d’euros, et les ETI à hauteur de 8 millions d'euros, pour un chiffre d’affaires entre 50 millions d'euros à 1,5 milliard d'euros. Pour couronner le tout, les primes augmentent sensiblement, ce qui n'est pas étonnant dans la mesure où le ratio sinistre à primes serait passé selon l'Amrae de 84% en 2019 à 167% en 2020. En somme, les entreprises payent toujours plus cher pour être mal assurées, et l'activité n'est pas rentable pour les porteurs de risque.

Pour pallier ces difficultés, la députée recommande aux acteurs européens de "mieux s’organiser", "aucun assureur n’étant capable de s’exposer en étant le seul porteur de risque". Voire "d'envisager le partenariat public-privé pour le segment systémique du risque cyber", afin de rendre ce risque assurable. Elle propose également de créer une nouvelle branche d'assurance dédiée au cyber.