Le risque cyber ne représente que 3 % des cotisations en assurance dommage des professionnels, selon un rapport du Trésor. L'État propose un plan d'action dans le but de mieux protéger les assurés.
Elle n'est pas encore inscrite dans les mœurs mais elle est pourtant, à l'heure où la menace cyber n'a jamais été aussi intense et variée, devenue capitale. L'assurance du risque cyber a, il est vrai, du mal à se développer en France, comme a pu le constater la direction générale du Trésor (rattachée au ministère de l'Économie, des Finances et de la Souveraineté industrielle et numérique). Dans un rapport, elle pointe du doigt un domaine encore trop peu assuré et propose des solutions pour y remédier.
Le risque cyber, encore incompris des assureurs et des assurés
Fort logiquement, la dépendance grandissante du tissu économique au numérique a entraîné au cours des dernières années la multiplication des risques cyber. Les cyberattaques sont de plus en plus nombreuses, complexes et professionnelles, allant même jusqu'à menacer la survie de pas mal d'entreprises.
L'assurance pourrait être un bon moyen de se protéger financièrement parlant des attaques informatiques et de leurs conséquences. Pourtant, le risque cyber ne représente que près de 3 % des cotisations en assurance dommage des professionnels, nous apprend le Trésor. Pourquoi une si faible part ?
Deux facteurs expliquent cette anomalie. D'abord, nombreuses sont les entreprises, et surtout les plus petites, à sous-estimer le risque cyber. D'un autre côté, les impacts sur les acteurs du monde de l'assurance sont difficilement estimables, surtout lorsqu'ils ont affaire à des attaques de grande ampleur.
L'assurance cyber en chiffres : entre retard, prise de conscience et développement 📈
- En 2021, le chiffre d'affaires du marché français de l'assurance du risque cyber a atteint 219 millions d'euros. Cela représente seulement 0,35 % des revenus des assurances de biens et responsabilité.
- 54 % : c'est la part des entreprises françaises qui ont fait l'objet d'une attaque informatique l'an dernier.
- 52 % : c'est la croissance des cotisations en 2021 de l'assurance du risque cyber. Une bonne nouvelle, puisque cela en fait le segment le plus dynamique sur le marché des assurances de biens et responsabilité.
- 97 % : ici, la part des sinistres cyber couverts par une assurance cyber en France. L'indemnisation en 2021 n'a pas dépassé les 3 millions d'euros.
- 84 % et moins de 0,3 % : taux de couverture respective par un contrat d'assurance cyber des grandes entreprises d'un côté, et des PME de l'autre, pour la France en 2021.
Sous l'impulsion du ministre de l'Économie et des Finances Bruno Le Maire, la direction générale du Trésor travaille depuis plus d'un an, en collaboration avec des organismes d'assurance, des entreprises, des services de l'État et des experts du monde académique, à l'établissement d'axes de développement de l'assurance du risque cyber. Ces travaux ont abouti à la naissance d'un plan d'action.
Une task force consacrée à l'assurance du risque cyber va voir le jour
Le rapport préconise de clarifier le cadre juridique de l'assurance du risque cyber. L'objectif est de réduire à néant les incertitudes qui règnent autour de la couverture éventuelle des dommages potentiels d'un risque cyber. À moyen terme, le Trésor propose de renforcer l'information livrée aux assurés sur l'étendue de leurs garanties. Aujourd'hui, ils sont soit dans le flou, soit dans l'hésitation, soit dans l'ignorance. L'obligation d'un dépôt de plainte de la victime pour confirmer son assurabilité à la suite d'une attaque par rançongiciel est évoquée. Elle fera d'ailleurs partie intégrante du projet de loi d'orientation et de programmation du ministre de l'Intérieur (LOPMI), présenté le 7 septembre en Conseil des ministres.
Une fois le risque cyber clarifié, il faut penser à mieux le mesurer. Pour aller dans ce sens, le rapport recommande d'améliorer l'évaluation des risques des assureurs, pour qu'ils puissent anticiper les dépenses éventuelles. La création d'une branche cyber spécialisée est même suggérée. De plus, le rapport préconise la mise en place d'une plateforme de partage des données sur les incidents cyber, ce qui permettrait aux assureurs de se transmettre les informations utiles. Cette plateforme pourrait être issue d'un partenariat public/privé, pour étendre les données disponibles en lien avec les risques cyber.
Globalement, c'est le partage de risque entre assurés, assureurs et réassureurs qu'il faut améliorer. Il existe déjà l'assurance paramétrique, qui permet de verser automatiquement une prestation établie en fonction d'un indice, mesurable automatiquement lui aussi. Et l'État veut favoriser le développement de solutions d'auto-assurance, comme les captives de réassurance, dans le but de créer un marché de l'assurance du risque cyber.
L'État n'oublie pas non plus l'aspect pédagogique en matière de cybersécurité. Il préconise ainsi de développer les coopérations entre les acteurs publics et privés en France pour sensibiliser le tissu économique local, sur les territoires, et de soutenir et renforcer les efforts de formation des professionnels de l'assurance.
Une task force consacrée à l'assurance du risque cyber va d'ailleurs voir le jour d'ici la fin du mois de septembre. Elle rassemblera les acteurs concernés. « Je souhaite que ces orientations soient mises en œuvre le plus rapidement possible. L’enjeu est crucial : il s’agit d’affirmer la souveraineté numérique de notre économie face à un accroissement des menaces cyber, pour renforcer la résilience de nos entreprises », a déclaré Bruno Le Maire.