Ransomware : la couverture risque cyber se confirme

14/09/2022

linformaticien.com Victor MIGET 8 septembre 2022 

La Direction générale du Trésor, a rendu son rapport sur le plan d’action pour développer l’assurance risque cyber « afin de renforcer la résilience du tissu économique français ». Indemniser oui, à condition que les victimes déposent plainte. 

Cible privilégiée des cybercriminels, 54 % des entreprises françaises auraient fait l’objet d’une cyberattaque en 2021 selon le baromètre de la cybersécurité en entreprise CESIN 2022. Une entreprise sur cinq a été visée par une cyberattaque par ransomware en 2021. Souvent dos au mur, de nombreuses victimes n’ont souvent d’autre choix que de payer. La faute à une sous-estimation du risque cyber par les entreprises et les difficultés pour les assureurs à estimer les impacts dudit risque. En conséquence de quoi, le risque cyber ne représente que 3 % des cotisations en assurance dommage des professionnels. 

C’est pourquoi, afin de muscler l’arsenal de défense cyber et préserver le tissu productif français, le ministre de l’Économie Bruno Lemaire avait demandé en juin 2021 un rapport de la direction générale du Trésor sur le développement de la cyber-assurance.

48h pour déposer plainte 

Un an plus tard, les experts du Trésor sont on ne peut plus clairs : l’assurance cyber est un « levier de renforcement de la résilience des acteurs économiques ». Il « est recommandé de favoriser le développement du marché de l’assurance du risque cyber pour renforcer la résilience de notre économie et faire de la Place de Paris un pôle européen d’expertise en la matière », indique-t-il dans son rapport.

Indemniser les victimes oui, mais à condition qu'elles déposent plainte sous 48h. « La mesure dédiée aux cyber-rançons (obligation de dépôt de plainte pour être indemnisé) sera partie intégrante du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) présenté ce mercredi 7 septembre en Conseil des Ministres. », indique un communiqué de Bercy. Cette mesure doit permettre de renforcer la répression contre la cybercriminalité et l’identification des menaces, en forçant les victimes à se manifester.

Le Trésor enjoint également les acteurs de l’assurance à clarifier les clauses des contrats traditionnels « pour mettre fin aux incertitudes qui peuvent entourer la couverture, ou non, de dommages consécutifs à la réalisation d’un risque cyber ». En outre, le groupe de travail recommande de diffuser des bonnes pratiques de rédaction, et de renforcer l’information des assurés sur l’étendue des garanties.

Coopérer pour mieux prévenir 

C’est aussi l’Etat qui aura sa partition à jouer via la création d’une catégorie ministérielle cyber de reporting et d’une branche cyber dédiée. « Il est par ailleurs préconisé de faciliter la transmission d’informations entre assureurs et pouvoirs publics en créant un observatoire de la menace cyber. », indique les rapporteurs. Ces derniers enjoignent également à renforcer la coopération entre acteurs publics et privés afin d’assurer une mission de sensibilisation des acteurs privés, mais aussi à accroître les efforts de formation des professionnels de l’assurance.