• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Assurance > Pourquoi la cyber-assurance concerne tout l’écosystème cyber

Pourquoi la cyber-assurance concerne tout l’écosystème cyber

L’augmentation du risque cyber implique la mise en place de solutions de cybersécurité, mais pas seulement. La députée Valéria Faure-Muntian publie ce 13 octobre 2021 un rapport insistant sur le rôle de la cyber-assurance dans le combat contre ce fléau et la nécessité de collaborer avec les autres acteurs de l’écosystème cyber.

Par Caroline Soutarson. Publié le 13 octobre 2021 à 9h55 - Mis à jour le 13 octobre 2021 à 11h25
Cybersecurite
  • Ressources

Alors que les cyberattaques connaissent une hausse significative depuis le début de la crise sanitaire, l’assurance cyber peine à trouver un modèle économique rentable pour couvrir ce nouveau risque. Valéria Faure-Muntian, députée de la Loire, co-présidente du groupe d’études assurance à l’Assemblée nationale, indique à mind Fintech que “le ratio sinistres sur primes est passé de 84 % en 2019 à 167% en 2020, soit une multiplication par 2 d’une année sur l’autre” (les chiffres proviennent du rapport “Lumières sur la cyberassurance” publié par l’Association pour le management des risques et des assurances de l’entreprise (AMRAE) en mai 2021).

Source : Rapport “LUmières sur la CYberassurance” publié par l’AMRAE en mai 2021

Le rapport de la députée sur la cyber-assurance, dévoilé ce 13 octobre à l’occasion des Assises de la cybersécurité, “analyse ce qui est dysfonctionnel à ce stade, à savoir l’assurabilité des entreprises, leur niveau de protection initiale, les sujets de formation et de personnel, l’organisation de l’industrie de la cybersécurité, la coopération entre celle-ci et celle de l’assurance, le niveau de cyber-assurance en France avec les capacités financières mises à disposition… Et les recommandations sont de plusieurs ordres : législatifs (comme pour le paiement des rançons), réglementaires et organisationnels (coopération entre les différents acteurs du marché)”, détaille Valéria Faure-Muntian.

Un marché français de la cyber-assurance peu attractif

Selon la députée, le marché de la cyber-assurance manque de dynamisme. D’une part, trop peu d’entreprises se couvrent contre le risque cyber. “Toujours d’après l’étude de l’AMRAE, près de 87 % des grands groupes bénéficient d’un programme d’assurance cyber, 8 % des ETI, 0,0026 % des PME et 1 % des collectivités. Ce manque de mutualisation entre les assurés a pour conséquence le déséquilibre financier évoqué précédemment”. Par ailleurs, concernant les grandes entreprises, la majorité d’entre elles font appel à des assureurs extra-européens. D’autre part, les assureurs français ne se bousculent pas pour proposer de l’assurance cyber. Le manque de demande ne permet pas suffisamment de mutualiser le risque de manière à obtenir un ratio de sinistralité inférieur à 100 %.

Et, selon la députée, quand bien même les assureurs proposeraient tous des polices d’assurance cyber, le problème du calcul de la prime subsisterait. Aujourd’hui, “le niveau de garanties est bien en deçà des besoins réels des assurés. En moyenne les grands groupes sont couverts à hauteur de 38 millions d’euros pour un chiffre d’affaires annuel de plus d’1,5 milliard d’euros. Pour les ETI, la couverture moyenne est de 8 millions d’euros. Pour rappel il s’agit d’entreprises dont le chiffre d’affaires varie entre 50 millions d’euros et 1,5 milliard d’euros”. En outre, le risque cyber revêt des caractéristiques systémiques dans le sens où, une fois un acteur touché, les entreprises prestataires et clientes peuvent également être impactées, notamment avec l’internationalisation des entreprises et la fragmentation des chaînes de valeur.

Face aux difficultés de calcul de primes, Valéria Faure-Muntian recommande d’élever le débat à l’échelle européenne afin d’évaluer les offres existantes et d’harmoniser les critères d’analyse des cyber-risques. Cela permettrait notamment de réunir plus de données concernant les cyberattaques (les chiffres étant souvent sous-évalués puisque les entreprises ne portent pas plainte pour protéger leur réputation). Par ailleurs, la députée soutient l’idée d’un “partenariat public-privé pour le segment systémique du risque cyber”, comme cela peut se faire dans d’autres segments de l’assurance comme le risque pandémique ou pour certaines catastrophes naturelles.

Le cas particulier des rançongiciels

Plus dans le détail, le rapport aborde le cas de figure du rançongiciel et de la place de l’assureur dans la résolution de la cyberattaque. “Un rançongiciel est un code malveillant empêchant la victime d’accéder au contenu de ses fichiers afin de lui extorquer de l’argent”, définit l’ANSSI dans son rapport consacré au sujet, Etat de la menace rançongiciel, publié en mars dernier. L’autorité a observé un quasi-quadruplement des signalements de rançongiciels durant l’année 2020 par rapport à 2019 (de 54 à 192). Et bien souvent, les entreprises paient la rançon afin de récupérer leurs données. L’assureur Hiscox, qui a été auditionné dans le cadre du rapport, estime ainsi qu’environ “65 % des sinistrés en France admettent avoir payé une rançon”. Pourtant, le paiement de ces rançons est déconseillé par le Parquet de Paris et l’ANSSI. La couverture de ce risque cyber “ne doit pas être interdite car cela peut être la solution. Mais ce ne doit pas être systématique […] sinon, nous allons vers un système où ce sont ceux qui se sont fait assurer qui se feront attaquer”, explique Guillaume Poupard. Plus globalement, le dispositif risque de financer le maintien des groupes de cybercriminels, voire même de les encourager à poursuivre leurs actions.

Malgré le point de vue défendu par les deux instances, “d’un point de vue légal, réglementaire ou administratif (autorités de contrôle et de régulation), il n’existe pas aujourd’hui d’interdiction formelle pour les assureurs de couvrir ce type de rançon dans le cadre d’une police d’assurance cyber”, peut-on lire dans le rapport. C’est pourquoi Valéria Faure-Muntian appelle à “clarifier la législation en matière de paiement des rançongiciels”, bien qu’une “interdiction de principe soit à éviter”.

Un écosystème à rassembler

Au-delà de la modification des offres de cyber-assurance et d’une législation plus contraignante, le rapport montre surtout l’ampleur des chantiers à mener et la nécessité de mise en place d’une collaboration entre les métiers pour parvenir à des offres satisfaisantes à la fois pour les entreprises et collectivités territoriales mais aussi pour les assureurs. De ce fait, Valéria Faure-Muntian appelle à une formation massive des acteurs aux problématiques de cybersécurité, que ce soit au niveau des dirigeants d’entreprises, des salariés (qui sont généralement frappés par les attaques de phishing), des magistrats en charge des dossiers, des professionnels de l’assurance, etc. La formation doit servir de base pour les collaborations à venir, à la fois entre les secteurs public et privé, entre les pays européens, ou encore entre les acteurs de la cybersécurité et ceux de l’assurance.

Cette dernière proposition a actuellement le vent en poupe aux États-Unis puisque, fin septembre, l’entreprise Coalition, qui associe des outils de cybersécurité à des solutions de cyber-assurance, a levé de fonds de 205 millions de dollars. Microsoft a également annoncé un nouveau partenariat avec un assureur spécialisé dans la cyber-assurance, At-Bay, afin de coupler ses atouts informatiques à la couverture cyber de ses clients entreprises.

Caroline Soutarson
  • cyberassurance
  • cybersécurité
  • régulation

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

À lire

Microsoft s’associe à At-Bay pour proposer de la cyber-assurance

Coalition se valorise à plus de 3,5 milliards de dollars

Bank of America investit plus d’un milliard de dollars par an dans la cybersécurité

Des filiales d’AXA en Asie victimes d’une cyberattaque

Jean Nicolas Piotrowski
Entretien

Jean-Nicolas Piotrowski (ITrust) : “Globalement, le niveau de cybersécurité des banques de taille moyenne et des fintech est très faible”

Crédit du Nord lance une assurance cyber

Cyber-assurance : quelles offres pour les TPE/PME ?

[Hors-série] Cybersécurité : des besoins encore loin d'être satisfaits

Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025