L’Apref publie une note dans laquelle elle présente 7 pistes pour développer l’assurance cyber en France.

Dans une note de position, l’Association des professionnels de la réassurance en France (Apref) a fait 7 propositions dans le cadre du développement d’une assurance cyber. « Quelles que soient les suites qui seront données aux pistes proposées par l’Apref, le sujet du cyber est au cœur des préoccupations des réassureurs du marché français, qui entendent travailler de concert avec tous les intervenants pour repousser les limites de l’assurabilité et développer le marché de façon pérenne », indique la note. Le ton est donné.

Pour l’association des réassureurs, le risque cyber est « difficilement mutualisable » de part notamment sa nature « sérielle » et son impact qui peut être mondial. « Cette situation complexifie le travail de modélisation d’autant plus que le risque cyber est fortement influencé par les mesures de prévention éventuellement prises pour le réduire, et que sa nature évolutive entraîne une obsolescence très rapide des informations recueillies qui les rend peu exploitables dans une démarche prospective », explique l’Apref dans sa note.

Malgré une modélisation complexe, les réassureurs ont souligné que les couvertures d’assurance se développent. Le volume des primes de l’assurance cyber en France s’élève à 120M d’euros en 2020, soit une hausse de 50% par rapport à 2018, d’après l’Apref. Un chiffre minime comparé aux 7Mds d’euros cotisés au niveau mondial. Avec des petites et moyennes entreprises françaises encore très peu couvertes et informées, l’Apref avance 3 propositions à mettre en place à court terme et 4 à long terme.

Lever le silence

Comme plusieurs acteurs déjà, l’association des réassureurs encourage l’élimination des garanties silencieuses des polices traditionnelles de dommages aux biens et de responsabilité civile. Par conséquent, elle incite la souscription de couverture spécifiques au cyber risque. « L’Apref souhaite toutefois attirer l’attention sur l’apparente hétérogénéité du marché en matière d’avancement des travaux et elle émet des doutes sur la faisabilité d’un tel travail dans un délai très court et sur l’ensemble des portefeuilles concernés ». A ces doutes s'ajoute « la question de la couverture des données et de ses conséquences en termes de sinistralité immatérielle dans les traités dommages et RC », provoquant des discussion entre assureurs et réassureurs au moment du renouvellement des contrats pour 2022.

Contrat socle

Dans un deuxième point, les réassureurs proposent un contrat « socle » pour les acteurs les plus exposés et vulnérables, soit les petites et moyennes entreprises. Ils comparent ce type de contrats avec le lancement des garanties « accidents de la vie » mises en place en 2000 et labélisées par France Assureurs (ex-FFA).

Clarification des rançons

La troisième mesure propose une clarification par le législateur de l’assurabilité des demandes de rançon. Avec encore une incertitude sur ce type de pratique, le marché est divisé. L’Apref souligne les effets pervers d’une telle décision qui pourrait amener les assurés à se tourner vers des assureurs étrangers afin d’inclure le paiement des rançons dans leur couverture ou d’augmenter la dissimulation des paiements de rançon pour éviter la double peine d’une faillite de l’entreprise assortie de poursuites judiciaires.

Modification du code de l’assurance

Dans un quatrième point, l’association des réassureurs envisage à moyen terme la création d’une nouvelle branche pour les risques cyber dans le code des assurances. Elle « permettrait notamment d’identifier et de suivre le volume des primes et la sinistralité liées à ces couvertures, de fournir de l’information sur le développement du marché et d’en évaluer la rentabilité technique », explique la note.

Les bienfaits de la data

La cinquième proposition concerne la mise en place d’une base de données répertoriant les informations du marché. Cela permettrait « d’identifier la nature, la durée et le coût des sinistres pris en charge », détaille l’Apref. Elle suggère de confier la gestion de cette base à « un tiers de confiance » auquel les informations pourront être procédées anonymement dans un souci de concurrence.

Vers un « état de catastrophe-cyber » ?

L’avant-dernière mesure est l’ouverture d’une discussion entre le public et le privé destinée à compléter l’offre d’assurance et de réassurance privée par une intervention de l’État en cas de catastrophe au-delà d’un seuil à définir.

Prévention

Enfin, l’Apref suggère aux organismes de formation professionnelle comme Enas, CNAM et Ifpass et les entreprises elles-mêmes d’intégrer une formation dédiée à la prévention et à l’assurance du risque cyber.

 La route vers sa modélisation du risque cyber sera longue. Systémique, sans frontières et invisible, l’Apref a rappelé qu’il est l’affaire de tous et son encadrement requiert l’implication de chacun des acteurs du marché.