L’assurance des cyber-attaques : un domaine à parachever

omplétant le dossier thématique dédié à la Cybersécurité, cet article brosse à grands traits l’état actuel de l’assurance des risques cyber en France. Il constate que les acteurs, assurés et assureurs, évoluent à l’aveugle faute d’organisation professionnelle et de régime juridique structuré. Les opérateurs continuent ainsi à utiliser des outils usuels des produits assurantiels pour couvrir les risques numériques d’aujourd’hui.

Les personnes privées comme les personnes morales et notamment les entreprises, deviennent une cible stratégique des pirates numériques. Les PME et TPE ne représentent pas moins de 34% des cibles nationales enregistrées[1].

Le risque cyber, qui ne fait pas encore l’objet d’une définition claire en droit français[2], s’accroît et déstabilise la pérennité des opérateurs économiques. Ces « utilisations malveillantes des systèmes »[3] tels que les rançongiciels, destinés à neutraliser un système numérique jusqu’au paiement d’une rançon, conservent en tout état de cause un niveau inquiétant. L’absence d’une législation technique complète ne facilite pas la régulation du phénomène.

Qui dit risque, dit également couverture. Le domaine assurantiel investit depuis les années 2010 le marché des cyber-attaques au sens large. En volume, les primes sont passées à plus de 130 millions d’euros en 2020 et connues une augmentation de 49% de 2019 à 2020[4]. Néanmoins, le marché demeure déséquilibré et concentré. Les principaux acteurs sont d’ailleurs étrangers, et même extracommunautaires[5]. Si 87% des grands groupes bénéficient d’une couverture, moins d’1% des PME le peuvent aujourd’hui financièrement[6].

L’absence d’assurance freine ainsi les initiatives et déstabilise la souveraineté des entreprises. Son chiffre d’affaires a représenté pour l’année 2021 seulement 3% du total des cotisations en assurance des dommages aux biens des professionnels[7]. Plusieurs facteurs expliquent ce défaut.

• Les porteurs de risques évaluent difficilement le coût de ces offres, lorsqu’ils ne méconnaissent tout simplement pas le risque cyber. La preuve en est que les risques cyber peuvent se trouver assurer quand bien même l’assureur ne l’aurait pas souhaité. On parle alors de couverture silencieuse. Tout dépendra des termes des clauses contractuelles utilisées. Il en va ainsi des contrats d’assurance dommages aux biens ou d’assurance responsabilité civile[8].

• L’absence de formations et de sensibilisation, ainsi que l’inexistence d’une branche d’assurance dédiée aux risques cyber favorise l’aléa contractuel.

• En outre, l’absence d’une réglementation de l’assurance cyber aboutie à des solutions disparates. Certaines assurances permettant par exemple d’assurer les sanctions administratives lorsqu’il ne s’agit pas d’une faute intentionnelle. Quand d’autres souhaiteraient interdire l’assurance du rançonnage, etc.

En l’état actuel du marché de l’assurance en France, deux garanties jouissent d’un certain développement[9]. Le dommage aux biens est ainsi communément couvert, en ce qu’il vise les atteintes patrimoniales de l’entreprise. On y retrouve notamment la couverture du coût de la reconstitution d’une perte de données. Mais aussi celle d’une perte d’exploitation. C’est en outre la responsabilité civile de l’assuré qui fait l’objet d’une garantie. En somme, ce sont donc encore des outils usuels de l’assurance d’hier qui font la couverture des néo-risques numériques d’aujourd’hui.

Nul doute que nous connaissions à l’avenir d’importantes précisions et clarifications quant à l’assurance des risques cyber. Car il faut gager du développement croissant de ce marché dans les prochaines années.