Accueil Cybersécurité Une loi doit être envisagée pour les demandes de rançons, ainsi qu’un...

Une loi doit être envisagée pour les demandes de rançons, ainsi qu’un cadre à l’assurance cyber

Pousse-au-crime pour les uns ou aide à la sécurité pour les autres, la question de la cybersécurité n’a pas été réglée en France selon Stéphane Fantuz, président de CNCEF Assurance.

La question a fait l’objet d’un rapport parlementaire de la députée Valéria Faure Muntian, mais il en est resté à ce stade. Or, avec la nouvelle législature qui va s’ouvrir à l’Assemblée Nationale fin juin 2022, il est temps de remettre le dossier sur la pile.

L’actualité plaide en cette direction car le fabricant de matériels agricoles AGCO victime d’un ransomware, a dû mettre ses usines à l’arrêt. Distributeur de plusieurs marques d’équipements agricoles, l’attaque perpétrée le 5 mai a paralysé les sites français de Beauvais dans l’Oise. Ce cas n’est absolument pas isolé car Hisco estimait récemment que le nombre d’entreprises visées par une cyberattaque en France est passé de 34% à 49% entre 2019 et 2020. De même, d’après IBM, le coût des cyberattaques a augmenté de 12% pour les entreprises ces cinq dernières années. Il est temps de mettre fin à la vulnérabilité dont notre économie est victime.

Une loi doit être envisagée pour les demandes de rançons, ainsi qu’un cadre à l’assurance cyber

Pour cela, les pouvoirs publics ne devront pas en rester aux stades des constats ou des intentions. Une loi doit être envisagée s’agissant de ces demandes de rançons, tout autant qu’un cadre à l’assurance cyber. En effet, la hausse significative de la sinistralité et le manque de structuration du marché français nous classent loin derrière l’Angleterre dont le modèle est le plus abouti pour ne pas dire le plus performant. Pour preuve, notre pays doit combler son retard avec seulement 130 millions d’euros de cotisations en matière de cyber-couverture ; un niveau très faible à l’échelle européenne. Pour autant, il ne s’agit pas de créer des carcans réglementaires comme nous pouvons en voir dans d’autres professions financières ni de contrevenir à la libre concurrence européenne de l’offre. Il faut plutôt imaginer une démarche responsable qui permettra de construire un circuit équitable aussi bien pour les compagnies d’assurance, les courtiers que pour les entreprises.

Les assurances ne prennent pas en compte les dommages financiers causés par la perte de propriété intellectuelle et de réputation

Actuellement, les entreprises piratées se plaignent à juste titre que leurs couvertures ne prennent pas en compte les dommages financiers causés par la perte de propriété intellectuelle entraînée par le hameçonnage. Ni même les impacts sur leur réputation auprès des clients et fournisseurs. Autant d’aspects mal estimés ou écartés et qui ont un véritable préjudice sur la trésorerie des entreprises. S’agissant des compagnies d’assurance, nous comprenons qu’à mesure que les sinistres augmentent, elles tirent la sonnette d’alarme. Trop peu d’entreprises assurées pour un nombre de dommages en hausse dérègle durablement tout un écosystème. Aussi, ne faut-il pas réfléchir à une couverture minimum pour toutes les entreprises, avec incitation fiscale. Plus particulièrement une police indexée sur la taille de l’entreprise de sorte à couvrir les risques, proportionnellement à l’activité. Mais aussi une police tenant compte des transversalités d’activités au sein même de l’entreprise ?

 

A ce stade, nous aurions pu penser que la création d’une branche cyber dans le Code des Assurances serait suffisante. Toutefois, le phénomène s’étend à telle enseigne que si une loi doit être créée en France, l’Union Européenne doit elle aussi passer à la vitesse supérieure et définir un pacte suffisamment protecteur, pédagogue, doté d’une architecture simplifiée et la plus ouverte possible. C’est le challenge qui attend donc nos institutions mais aussi nos courtiers en assurance et leurs mandataires vers qui les entreprises et les collectivités seront amenées à s’adresser pour se protéger et optimiser leurs données comme leur patrimoine financier.