La dépendance de l’écosystème au numérique a facilité la multiplication de cyberattaques. La crise sanitaire a encore accéléré cette tendance, notamment à travers l’adoption de nouveaux modes de travail. Alors qu’elles s’accroissent en volume, fréquence et complexité, les cyberattaques sont aujourd’hui susceptibles de menacer les activités d’une entreprise. La résilience face au risque cyber constitue donc un enjeu majeur de souveraineté.
Malgré cette situation, le risque cyber est encore relativement peu assuré, et ne représente que près de 3 % des cotisations en assurance dommage des professionnels. Ce constat est le fruit de deux facteurs : une sous-estimation, ou en tout cas une difficulté à appréhender le risque cyber, pour les entreprises (en particulier les plus petites), et des difficultés à estimer ses impacts pour les acteurs de l’assurance, en particulier lors d’incidents de grande ampleur. L’assurance du risque cyber constitue pourtant un levier essentiel de la résilience de notre tissu productif.
Pour répondre à ces défis, la direction générale du Trésor a mis en place en juin 2021 un groupe de travail portant sur le développement d’une offre assurantielle de couverture des risques cyber, associant, outre les services de l’État, des représentants des entreprises, des organismes d’assurance et de réassurance et des experts du monde académique. À l’issue des travaux, la direction générale du Trésor a publié un rapport sur le développement de l’assurance du risque cyber qui propose un plan d’action décliné en quatre axes :
Clarifier le cadre juridique de l’assurance du risque cyber. La poursuite des efforts de clarification des clauses des contrats traditionnels constitue une priorité pour mettre fin aux incertitudes qui peuvent entourer la couverture, ou non, de dommages consécutifs à la réalisation d’un risque cyber. Il est ainsi recommandé de diffuser les bonnes pratiques de rédaction pour améliorer la prise en compte de ce risque. À moyen terme, il est proposé de renforcer l’information des assurés sur l’étendue de leurs garanties. Enfin, l’obligation d’un dépôt de plainte de la victime pour permettre l’assurabilité d’une cyber-rançon, ainsi qu’un principe général d’inassurabilité des sanctions administratives, sont également proposés pour lever des ambiguïtés dommageables aux assurés comme aux assureurs.
Favoriser une meilleure mesure du risque cyber. Le rapport recommande d’améliorer l’évaluation des risques des assureurs afin de permettre aux acteurs de mieux prendre en compte leur exposition au risque opérationnel cyber. La création d’une catégorie ministérielle « cyber » de reporting puis à moyen terme d’une branche cyber dédiée est également recommandée. Il est par ailleurs préconisé de faciliter la transmission d’informations entre assureurs et pouvoirs publics en créant un observatoire de la menace cyber.
Améliorer le partage de risque entre assurés, assureurs et réassureurs. La promotion de solutions innovantes, comme l’assurance paramétrique ou le développement de solutions d’auto-assurance (telles que les captives de réassurance), pourrait renforcer la couverture des acteurs économiques face à ce risque. La mise en place d’une provision dédiée apparait à cet égard être une solution pertinente pour permettre aux entreprises de mieux gérer leur risque cyber.
Accroître les efforts de sensibilisation des entreprises au risque cyber. Il est ainsi préconisé de développer les coopérations entre acteurs publics et privés sur les territoires pour sensibiliser le tissu économique local ainsi que d’accroître les efforts de formation des professionnels de l’assurance. La définition de référentiels de sécurité partagés et un travail sur l’harmonisation des questionnaires de sécurité utilisés par les assureurs constituent également un levier pour renforcer la résilience des entreprises.
Une task-force sera mise en place fin septembre afin de mettre en œuvre les propositions du rapport.
+ Le rapport “Le développement de l’assurance du risque cyber” >>
Chiffres clés
54 % : c’est la part des entreprises françaises qui auraient fait l’objet d’une cyberattaque en 2021 (source baromètre de la cybersécurité en entreprise CESIN 2022) ;
219 M€ : c’est le chiffre d’affaires du marché français de l’assurance cyber en 2021, soit 0,35% du chiffre d’affaires des assurances de biens et responsabilité (source : France Assureurs) ;
52 % : c’est la croissance des cotisations en 2021 de l’assurance du risque cyber, ce qui en fait le segment le plus dynamique du marché des assurances de biens et responsabilité (source : France Assureurs) ;
97 % : la part des sinistres cyber couverts par une assurance cyber en France qui ont donné lieu à une indemnisation inférieure à 3 M€ en 2021, ce qui souligne que le risque cyber reste pour l’essentiel maîtrisable (source : AMRAE) ;
84% et moins de 0,3% : il s’agit des taux de couverture respectifs par un contrat d’assurance cyber des grandes entreprises et des PME en France en 2021. Ce chiffre témoigne d’une prise de conscience très hétérogène face au risque cyber (source : AMRAE).
Aller plus loin :
+ Lancement d’une concertation nationale sur l’assurance du risque cyber (5 juillet 2021)