Dans un rapport publié ce mercredi, le ministère de l'Economie prend position sur le paiement des rançons dans le cadre de l'assurance cyber. Il préconise par ailleurs le développement des captives parmi ces 18 propositions.

Le groupe de travail sur le développement de l'assurance du risque cyber piloté par la Direction générale du Trésor a remis les conclusions de ses travaux. Depuis juin 2021, il multiplie les concertations avec les acteurs du marché, « car l'assurance contre le risque cyber reste encore un marché peu développé », pointe le rapport rendu public ce mercredi. En 2021, le chiffre d'affaires sur ce segment s'élevait à 219M d'euros, soit 0,35% de l'activité de biens et responsabilités en France.

L'enjeu est de taille. Lundi, l'Apref rappelait ainsi que l'attaque NotPetya avait engendré 10Mds de dollars de sinistres. Surtout, les TPE/PME « sous-estiment encore l'impact potentiel des attaques sur leur activité », souligne la DG Trésor dans le rapport. Le constat est sans appel. 84% des grandes entreprises sont couvertes, contre 9% des ETI et 0,3% des PME. Dès lors, pour favoriser le développement et la diffusion de l'assurance cyber, Bercy formule 18 propositions, dont certaines attendues par le secteur.

Développer les captives d'assurance

C'est notamment le cas de la proposition n°12. Cette dernière préconise de développer le recours aux captives d'assurance. Une annonce qui ravira l'Amrae, en première ligne sur le sujet. Le Trésor opte pour « la mise en place d'une proposition dédiée facilitant la mutualisation des pertes sur un temps long », ainsi que le développement « des captives par compartiment ».

Le sujet avait déjà agité la rentrée 2021 lorsque la députée Valeria Faure-Muntian déposait un amendement au PLF 2022 pour donner naissance aux captives à la française. Sur demande du gouvernement, il avait été retiré. Officiellement, le ministère souhaitait notifier et demander l’autorisation à Bruxelles avant de faire voter la mesure. « Ce sera pour un prochain PLF », lançait-on à Bercy. Peut-être celui à venir ?

Ouvrir la voie au paiement des rançons

Autre sujet de discorde, le paiement des rançons. Là aussi, la question avait enflammé les débats. « La France est aujourd’hui l’un des pays les plus attaqués en matière de rançongiciels (…) parce que nous payons trop facilement les rançons », lâchait Johanna Brousse, vice-procureure de Paris en charge de la lutte contre la cybercriminalité devant les sénateurs en avril dernier. Dans la foulée, Axa décidait d'ailleurs de supprimer la garantie de ses contrats.

Quid des attaques perpétrées dans le cadre de cyberguerre

En revanche, le rapport du Trésor propose d'approfondir le cas spécifique des cyberguerres et notamment de leur exclusion. Les services de Bruno Le Maire estiment qu'il est extrêmement complexe d'établir un lien de causalité directe entre une guerre étrangère et une cyberattaque. Ils préfèrent se laisser du temps sur ce point alors que le Lloyd's, de son côté, a demandé aux syndicats qui le compose de l'exclure explicitement de leurs contrats.

Clarifier les garanties

Le secteur de l'assurance fait par ailleurs face à une difficulté sur l'étendue des garanties. Certes, 95% des cotisations collectées pour le risque cyber le sont à travers des contrats entièrement dédiés à ce risque. Mais il reste une part de couvertures dites « silencieuses ». A cet égard, le rapport du Trésor préconise que l'ACPR « invite les assureurs à rendre plus explicites les couvertures et exclusions des risques cyber et à mieux évaluer l'exposition de leur portefeuille ». Une « invitation » qui n'est pas sans rappeler le travail de l'autorité de contrôle sur les contrats perte d'exploitation en pleine crise sanitaire.

Et pourquoi pas aller jusqu'à l'élaboration d'un guide de bonnes pratiques en matière de rédaction de contrats. Ou encore renforcer l'information à destination des assurés pour mentionner explicitement les couvertures et les exclusions. Cette proposition ressemble à s'y méprendre à l'Ipid.

Travailler sur l'exposition des assureurs

Les assureurs devraient également mieux appréhender leur exposition au risque cyber en l'incluant dans leur rapport Orsa. Le Trésor les incite par ailleurs à travailler sur la modélisation voire de partager leurs données de sinistralité dans le cadre d'un Observatoire de la menace cyber.

Toutes ces proposition visent en outre à faire de la place de Paris « un pôle d'expertise du risque cyber ».