À l’aune de la décennie numérique, l’expansion de l’écosystème cybercriminel et la menace croissante des cyberattaques constituent un risque indéniable pour la société. Susceptibles de compromettre l’intégrité, la disponibilité et la confidentialité des données, ces attaques peuvent paralyser l’activité d’une entreprise et générer d’importantes pertes financières. Face à ces risques, les sociétés d’assurances proposent des cyber assurances. La multiplication et la sophistication des attaques, l’augmentation des primes d’assurance et la couverture restreinte des produits cyber soulèvent cependant la question de l’efficacité des cyber assurances et d’un éventuel effet incitatif de l’assurance cyber au paiement des rançons.
Qu’est-ce que l’assurance cyber ?
Conformément à la définition de l’Association internationale des contrôleurs d’assurance (AICA), l’assurance cyber est dédiée à :
« tous les risques découlant de l’utilisation de données électroniques et de leur transmission, y compris les outils technologiques tels que l’internet et les réseaux de télécommunications. Cela englobe également les dommages physiques pouvant être causés par des incidents de cybersécurité, la fraude commise par mauvaise utilisation des données, toute responsabilité découlant du stockage des données, ainsi que la disponibilité, l’intégrité et la confidentialité des informations électroniques, qu’elles concernent des individus, des groupes ou des gouvernements ».
En ce sens, l’identification et l’analyse des risques constituent deux étapes préalables à l’établissement de la police d’assurance. Le recours à ces polices d’assurance permet aux sociétés d’étendre, de transférer et de mutualiser leurs risques et devrait, de ce fait, connaître un succès important.
Une protection déficitaire ?
D’après l’étude Lumière sur la Cyberassurance (LUCY) de l’association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE), le marché de l’assurance est redevenu rentable en 2021. Avec un ratio sinistres/primes égal à 88%, le montant des sinistres indemnisés est inférieur aux primes versées. Cependant, ce retour à la rentabilité s’est fait en augementant les primes et en durcissant des conditions de souscriptions qui pourraient décourager le recours à ce produit.
« Pourquoi payer des primes que certains considèrent comme chères pour une couverture de plus en plus limitée, alors que l’investissement supplémentaire dans la cybersécurité est considéré comme une manière plus efficace de gérer le risque ? ». Cette question soulevée par la Financial Times semble quelque peu indiquer cette réalité contraire à l’idéal des assureurs. En effet, l’augmentation des primes d’assurances ainsi qu’ une couverture des risques non adaptée aux besoins des assurés découragent aujourd’hui un nombre important d’acteurs de recourir aux polices cyber.
Ainsi, d’après un rapport de l’agence de l’Union européenne pour la cybersécurité (ENISA) du 23 février 2023, seulement 26 % des opérateurs de services essentiels européens déclarent avoir souscrit à une police d’assurance cyber. Parmi les raisons principales justifiant ce choix figurent le prix et la couverture non adaptée aux besoins des opérateurs.
Un produit inviable ?
Alors que la National Association of Insurance Commissioners des Etats unis (NAIC) notifie une augmentation de 61% en 2021 des polices cyber souscrites, la fédération des associations européennes de gestion de risques (FERMA) souligne qu’il y a un véritable risque que l’assurance cyber devienne un produit non viable.
La raison ? Une clause d’exemption introduite par l’assureur Lloyd’s exclut les attaques d’envergure provenant d’un acteur étatique. Cette clause puise ses origines dans l’exemption de guerre utilisée par les assureurs dans le contexte de l’attaque par rançongiciel « Notpetya ». Cette dernière figure aujourd’hui encore parmi les attaques les plus destructrices de l’histoire avec des dommages estimés à plusieurs milliards de dollars.
S’y ajoute que la nature polyvalente des risques cyber n’est pas favorable à l’approche statique de l’assurance. La diversité des facteurs de risques, et plus particulièrement la faute humaine, génère une incertitude importante et difficilement prédictible. Ces risques ingérables remettent en question le sens même de l’assurance cyber et soulignent davantage la nécessité d’un dialogue clair entre assureur et assuré. Ne serait-il donc pas plus simple d’investir dans des mesures de sécurité plus efficaces ?
Un effet incitatif ?
En France, le remboursement d’une rançon n’est pas prohibé. La loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) publiée le 25 janvier 2023 promeut dans son rapport annexé une régulation de la couverture assurantielle du paiement des rançons. Les clauses de remboursement des rançons par les assureurs contre les cyberattaques devront ainsi être mieux régulées et être soumises à une déclaration préalable aux forces de sécurité ou à l’autorité judiciaire.
Cependant, le paiement d’une rançon expose la victime à de potentielles poursuites pénales pour financement de terrorisme au sens de l’article 421-2-2 du Code pénal et pour blanchiment de capitaux conformément à l’article 324-1 du Code pénal. Les entreprises soumises aux obligations de lutte contre le blanchiment d’argent risquent des sanctions administratives d’un montant maximal de 100 millions d’euros ou de 10% de leur chiffre d’affaires conformément à l’article 612-39 du Code monétaire et financier.
Lors d’une audition au Sénat, l’ancien directeur de l’Agence nationale de sécurité des systèmes d’informations (ANSSI), Guillaume Poupard a dit que les assureurs « garantissent trop souvent le paiement des sommes exigées par les cybercriminels». Il convient donc de se demander si le fait d’assurer le paiement des rançons n’inciterait pas les entreprises à payer et par conséquent les cybercriminels à mener des attaques ?
Talevic Delija
M2 Cyberjustice 2022-2023
Sources:
- EIOPA Cyber Risk for Insurers – Challenges and Opportunities
- NAIC Report on the Cyber Insurance Market