Assurance : un projet de loi clarifie le cadre de l'indemnisation des rançons en cas de cyberattaque

Comme nous l'expliquions il y a peu dans nos colonnes, une grande partie des assureurs continuent de rembourser les rançons, dans le cadre de sinistres résultant d'une cyberattaque par rançongiciel, si les entreprises respectent certaines conditions. Mais il manquait une clarification du cadre juridique, qui pouvait en rebuter certains, comme Axa France et Generali.

Le retour du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) – un premier texte avait été présenté en mars sous l'ancienne mandature -, en conseil des ministres ce mercredi 7 septembre, devrait y remédier. Il intègre une mesure dédiée aux cyber-rançons, imposant aux entreprises de déposer plainte sous 48 heures pour pouvoir être indemnisées. Ce qui valide du même coup la légalité du remboursement de la rançon.

D'après une étude de France Assureurs réalisée en 2022, sept assureurs sur dix proposent le remboursement des rançons dans leurs contrats d'assurance cyber dédiés aux TPE/PME.

le trésor présente un plan d'action pour l'assurance cyber

Cette mesure est issue des travaux de la direction générale du Trésor, qui a mis en place à la demande du ministre de l'Economie Bruno Le Maire, en juin 2021, un groupe de travail sur le développement de la couverture assurantielle des risques cyber. Le Trésor a remis son rapport aujourd'hui.

Celui-ci présente un plan d'action pour améliorer la couverture des entreprises contre les cyberattaques. Si 84% des grandes entreprises sont assurées contre ce risque, moins le 0,3% des PME le sont en France selon l'Association pour le management des risques et des assurances de l’entreprise (Amrae), alors que 54% des entreprises françaises auraient fait l’objet d’une cyberattaque en 2021 d'après le baromètre de la cybersécurité en entreprise CESIN 2022. Les cotisations de ces polices d'assurance ne représentent que 3% des cotisations en assurance dommage des professionnels.

une task force mise en place fin septembre

Le plan d'action de la DGT recommande notamment de clarifier les clauses de ces contrats, de retenir le principe d’inassurabilité des sanctions administratives, de créer à moyen terme une branche cyber dans le Code des assurances (pour mieux piloter statistiquement et budgétairement l'activité), et de créer une plateforme public-privée de partage de données anonymisées sur les incidents cyber, afin de disposer de davantage de données sur ce risque pour que les assureurs puissent mieux le mesurer, et de faciliter les enquêtes judiciaires. Ces données pourraient être issues entre autres des dépôts de plainte des entreprises.

La DGT précise dans un communiqué qu'un "task force dédiée à l’assurance du risque cyber, associant les acteurs concernés, sera mise en place d’ici la fin du mois de septembre".

bercy souhaite une mise en oeuvre rapide

"Ce rapport propose des actions concrètes et crédibles pour développer un marché de solutions assurantielles, tout en renforçant la prévention du risque cyber. Il est issu d’une large concertation avec l’ensemble des acteurs concernés : fédérations d’entreprises, assureurs, experts du monde académique et superviseurs. Je souhaite que ces orientations soient mises en oeuvre le plus rapidement possible", commente Bruno Le Maire dans un communiqué.

Selon les données de la police et de la gendarmerie citées par le rapport du Trésor, la valeur médiane des rançons atteignait 6375 euros en France en 2020 (+50% par rapport à 2016). Retenir la valeur médiane est intéressant, car la valeur moyenne est faussée par les grandes disparités des rançons réclamées, qui peuvent atteindre plusieurs millions d'euros.

Sélectionné pour vous

Résiliation des contrats par voie électronique : confusion, incertitudes et précipitation…

Assurance cyber : les PME s'assurent plus qu'avant, et elles vont bientôt le regretter

La Macif modernise sa relation client avec un serveur vocal en langage naturel