Remise du rapport sur le développement de l’assurance du risque cyber

2022-09-07T00:00:00+02:00

La dépendance de l’écosystème au numérique a facilité la multiplication de cyberattaques. La crise sanitaire a encore accéléré cette tendance, notamment à travers l’adoption de nouveaux modes de travail. Alors qu’elles s’accroissent en volume, fréquence et complexité, les cyberattaques sont aujourd’hui susceptibles de menacer les activités d’une entreprise. La résilience face au risque cyber constitue donc un enjeu majeur de souveraineté.

Malgré cette situation, le risque cyber est encore relativement peu assuré, et ne représente que près de 3 % des cotisations en assurance dommage des professionnels. Ce constat est le fruit de deux facteurs : une sous-estimation, ou en tout cas une difficulté à appréhender le risque cyber, pour les entreprises (en particulier les plus petites), et des difficultés à estimer ses impacts pour les acteurs de l’assurance, en particulier lors d’incidents de grande ampleur. L’assurance du risque cyber constitue pourtant un levier essentiel de la résilience de notre tissu productif.

Pour répondre à ces défis, la direction générale du Trésor a mis en place en juin 2021 un groupe de travail portant sur le développement d’une offre assurantielle de couverture des risques cyber, associant, outre les services de l’État, des représentants des entreprises, des organismes d’assurance et de réassurance et des experts du monde académique. À l’issue des travaux, la direction générale du Trésor a publié un rapport sur le développement de l’assurance du risque cyber qui propose un plan d’action décliné en quatre axes :

Clarifier le cadre juridique de l’assurance du risque cyber. La poursuite des efforts de clarification des clauses des contrats traditionnels constitue une priorité pour mettre fin aux incertitudes qui peuvent entourer la couverture, ou non, de dommages consécutifs à la réalisation d’un risque cyber. Il est ainsi recommandé de diffuser les bonnes pratiques de rédaction pour améliorer la prise en compte de ce risque. À moyen terme, il est proposé de renforcer l’information des assurés sur l’étendue de leurs garanties. Enfin, l’obligation d’un dépôt de plainte de la victime pour permettre l’assurabilité d’une cyber-rançon, ainsi qu’un principe général d’inassurabilité des sanctions administratives, sont également proposés pour lever des ambiguïtés dommageables aux assurés comme aux assureurs.
Favoriser une meilleure mesure du risque cyber. Le rapport recommande d’améliorer l’évaluation des risques des assureurs afin de permettre aux acteurs de mieux prendre en compte leur exposition au risque opérationnel cyber. La création d’une catégorie ministérielle « cyber » de reporting puis à moyen terme d’une branche cyber dédiée est également recommandée. Il est par ailleurs préconisé de faciliter la transmission d’informations entre assureurs et pouvoirs publics en créant un observatoire de la menace cyber.
Améliorer le partage de risque entre assurés, assureurs et réassureurs. La promotion de solutions innovantes, comme l’assurance paramétrique ou le développement de solutions d’auto-assurance (telles que les captives de réassurance), pourrait renforcer la couverture des acteurs économiques face à ce risque. La mise en place d’une provision dédiée apparait à cet égard être une solution pertinente pour permettre aux entreprises de mieux gérer leur risque cyber.
Accroître les efforts de sensibilisation des entreprises au risque cyber. Il est ainsi préconisé de développer les coopérations entre acteurs publics et privés sur les territoires pour sensibiliser le tissu économique local ainsi que d’accroître les efforts de formation des professionnels de l’assurance. La définition de référentiels de sécurité partagés et un travail sur l’harmonisation des questionnaires de sécurité utilisés par les assureurs constituent également un levier pour renforcer la résilience des entreprises.

Une task-force sera mise en place fin septembre afin de mettre en œuvre les propositions du rapport.

+ Le rapport "Le développement de l'assurance du risque cyber" >>

Chiffres clés

54 % : c’est la part des entreprises françaises qui auraient fait l’objet d’une cyberattaque en 2021 (source baromètre de la cybersécurité en entreprise CESIN 2022) ;
219 M€ : c’est le chiffre d’affaires du marché français de l’assurance cyber en 2021, soit 0,35% du chiffre d’affaires des assurances de biens et responsabilité (source : France Assureurs) ;
52 % : c’est la croissance des cotisations en 2021 de l’assurance du risque cyber, ce qui en fait le segment le plus dynamique du marché des assurances de biens et responsabilité (source : France Assureurs) ;
97 % : la part des sinistres cyber couverts par une assurance cyber en France qui ont donné lieu à une indemnisation inférieure à 3 M€ en 2021, ce qui souligne que le risque cyber reste pour l’essentiel maîtrisable (source : AMRAE) ;
84% et moins de 0,3% : il s’agit des taux de couverture respectifs par un contrat d’assurance cyber des grandes entreprises et des PME en France en 2021. Ce chiffre témoigne d’une prise de conscience très hétérogène face au risque cyber (source : AMRAE).

Aller plus loin :

+ Lancement d'une concertation nationale sur l’assurance du risque cyber (5 juillet 2021)

Lancement d'une concertation nationale sur l’assurance du risque cyber

2021-07-05T00:00:00+02:00

Les attaques cyber subies par les entreprises ou les particuliers ne cessent d’augmenter. La crise sanitaire et l’accélération de l’usage des outils numériques, notamment dans le cadre du télétravail, ont rendu les entreprises plus dépendantes des outils numériques et plus vulnérables aux attaques.

Sur ce risque émergent et évolutif, l’assurance a un rôle clef à jouer en tant qu’outil efficace de gestion, de transfert et de mutualisation des risques et dans l’accompagnement des assurés, particuliers et entreprises, dans la prévention et la sécurisation des systèmes informatiques. L’objectif de ce groupe de travail sera de construire une offre d’assurance cyber adaptée aux besoins de l’économie et aux enjeux de résilience.

Le groupe de travail analysera les clauses d’assurance cyber et les modalités possibles pour les rendre plus claires. Il tentera d’identifier les leviers permettant une meilleure mesure de ce risque complexe et évolutif. Les modalités optimales de partage de risque entre assurés, assureurs et réassureurs seront également étudiées. Enfin, dans une perspective de mobilisation de l’ensemble des parties prenantes, le groupe s’intéressera au développement du capital humain nécessaire à l’expertise cyber et proposera des moyens pour lutter contre le phénomène de sous-perception de ce risque par les entreprises.

Il associera, outre les services de l’Etat, des représentants des entreprises, des entreprises d’assurance et de réassurance, des distributeurs d’assurance, des actuaires et des experts du monde académique.

L’ensemble de ces analyses et contributions permettront d’élaborer un plan d’action qui sera présenté début 2022.

Pour nous permettre d’avancer sur ce sujet, une boîte à idées est accessible pour que chacun – chef d’entreprise, spécialiste de la cybersécurité ou intéressé par la thématique – puisse transmettre ses contributions et partage d’expériences, jusqu'au 31 décembre 2021. L’adresse de contact est la suivante : assurance.cyber@dgtresor.gouv.fr.

Trésor-Info - Publications de la direction générale du Trésor - risque-cyber

Remise du rapport sur le développement de l’assurance du risque cyber

+ Le rapport "Le développement de l'assurance du risque cyber" >>

Chiffres clés

Lancement d'une concertation nationale sur l’assurance du risque cyber