Le groupe d’études Assurances de l’Assemblée Nationale livre 20 propositions visant entre autres à améliorer et dynamiser l’offre d'assurance française en matière de risques cyber. L’instance préconise notamment de créer un mécanisme d’évaluation et de notation des offres ou encore une nouvelle branche dédiée à la cyber-assurance.

Dans un rapport rendu ce 13 octobre 2021, le groupe d’études Assurances de l’Assemblée Nationale, s’attaque au sujet de la cyber-assurance en France. Emmenée par la députée de la Loire Valéria Faure-Muntian, l’instance livre 20 propositions visant à mieux définir les termes autour du risque cyber, à garantir la résilience et la défense des entreprises face à la menace et surtout à « dynamiser le marché de la cyber-assurance » jugé « déséquilibré et concentré, avec une couverture inégale ».

Le document s’interroge notamment sur comment faire gagner en maturité le marché tricolore, comme rendre les assureurs moins frileux et comment les situer dans le dispositif français de cybersécurité.

Imposer l’assurance à certaines entreprises

Parmi l’ensemble de ses propositions, le groupe d’études préconise par exemple d’adopter des définitions communes de la cyber-attaque et du cyber-risque ou de clarifier la législation en matière de paiement des rançongiciels. « Il convient d’inscrire dans la loi l’interdiction pour les assureurs de garantir, couvrir ou d’indemniser la rançon et se porter davantage vers la prévention, l’accompagnement et l’assurance des conséquences pour une entreprise. De même à l’instar de nos collègues américains, il convient de sanctionner les entreprises, administrations ou collectivités qui procèdent au paiement des rançons à l’aide d’un tiers ou de manière directe », lit-on plus loin.

De même, le groupe de travail souhaite que soit développé un écosystème en rapprochant les assurances françaises des entreprises de cybersécurité. Rappelant que la demande de cyber-assurance augmente en même temps que se rétracte l’offre sur le marché, le rapport préconise par exemple d’« imposer aux entreprises qui travaillent pour et/ou avec l’État et/ou des OIV /OSE de se doter d’une police d’assurance cyber ».

Constat morose

Encore très récent, le marché tricolore de la cyber-assurance « reste timide et le taux de pénétration très faible malgré une augmentation des primes en assurance cyber de 49% entre 2019 et 2020, passant de 87 M€ à 130 M€ (Amrae) », explique ensuite le rapport qui pointe également le mauvais niveau du ratio sinistres à primes de la branche (167% en 2020 contre 84% en 2019 selon l’ACPR). « Le marché de cyber-assurance en France présente clairement de nombreux handicaps et nécessite un effort de structuration », peut-on lire.

Le groupe d’études précise également que le niveau des capacités allouées au risque cyber pour chaque assuré est sous-dimensionnée et ne permet pas de le protéger convenablement. « Plus globalement la cartographie des couvertures démontre que le tissu économique français, ainsi que les collectivités restent vulnérables, même quand ils s’assurent ».

« La frilosité du marché de l’assurance français est intimement lié à la rétractation des capacités du marché assurantiel et de réassurance. En effet, le marché de la réassurance est un marché mondial, ainsi les capacités allouées par les réassureurs à la France et au risque cyber sont faibles, voir en diminution », note ensuite le rapport.

Ecosystème de la cyber-assurance

Face à ce constat plutôt morose, le groupe d’études propose alors plusieurs pistes d’évolution visant à redynamiser ce marché. Parmi elles, la création en Europe d’un mécanisme d’évaluation des offres de cyber-assurance et d’harmonisation des critères d’analyse des cyber-risques entre assureurs.

« Aucun assureur n’étant capable de s’exposer en étant le seul porteur de risque, il est utile qu’il ait une coordination permettant aux assureurs européens de joindre leurs efforts afin de répondre aux besoins des entreprises européennes », précise le groupe d’études. Il souhaite également « interroger le réassureur publique, CCR, sur ses capacités d’appréhender les risques émergents » et envisage également un partenariat public-privé pour le segment systémique du risque cyber.

Surtout, le groupe d’étude préconise de créer une nouvelle branche d’assurance dédiée à la cyber-assurance ainsi que de développer des solutions hybrides de cybersécurité et de cyber-assurance pour les petites et moyennes entreprises et les collectivités. « C’est tout un écosystème de la cyber-assurance qu’il convient d’encourager en rapprochant les assurances des entreprises de cybersécurité et ce, avec le concours de l’État. En réalité, la cyber-assurance doit être partie prenante de la stratégie française de la cybersécurité annoncée par le Président de la République Emmanuel Macron au printemps dernier, comme du volet transition numérique du plan France Relance », conclut le rapport.