Tel est le principal message délivré par les invités (Antemeta, CGPME, DGT et FFA) de la table ronde sur l’assurabilité de la cybersécurité organisée le 25 novembre dernier à Paris par la Délégation Sénatoriale aux Entreprises. Mais attention, le marché de la cyberassurance est insuffisamment mature, de même que ses clients en matière de cybersécurité…
Alors que le Gouvernement français n’est toujours guère favorable au paiement d’une rançon en cas d’attaque par rançongiciel, la Délégation Sénatoriale aux Entreprises (DSE) prend la question très au sérieux, ainsi qu’un sujet connexe : l’assurabilité des entreprises en cas de cyberattaque.
Comme le confirme Serge Babary, son président, qui a déclaré lors de la table ronde de la DSE du 25 novembre 2021 que : « Le cyber risque et son assurabilité constituent un sujet majeur pour les entreprises mais aussi les collectivités territoriales. Nous devons réagir rapidement ! Le Sénat attend du groupe de travail lancé par le ministère des finances sur la cybersécurité des propositions structurelles concertées, y compris sur la question des rançons ». Une attente partagée par les sénateurs Sébastien Meurant (Val-d’Oise) et Rémi Cardon (Somme), qui travaillent beaucoup sur le sujet.
« Face à un risque systémique, les assureurs se désengagent des cyber-risques »
Mais aussi par l’un de leurs invités, Stéphane Blanc, président fondateur d’Antemeta, un intégrateur IT parisien membre d’Hexatrust. Il a ouvert les débats de la DSE en regrettant que « Face à un risque systémique, les assureurs se désengagent des cyber-risques. Et quand il s’y engagent, c’est sans assurer les rançongiciels. Or, depuis 4-5 ans, nous assistons à une évolution multifactorielle des cyber-risques et à des attaques non plus individuelles, mais organisées parfois par des états dans le cadre d’une guerre économique mondiale. Nous ne sommes donc pas organisés pour mener une défense, voir une contre-attaque ».
Egalement invité à s’exprimer par la DSE, Christophe Delcamp, directeur adjoint au pôle Assurances de dommages et responsabilité de la Fédération Française de l’Assurance (FFA) partage le point de vue de Stéphane Blanc sur la dangerosité des cyberattaques. « La FFA est bien consciente des risques liés à la digitalisation de l’économie et des processus des entreprises. Ces cyber-risques peuvent d’ailleurs générer des dommages sans commune mesure avec ce que nous avons pu connaître par le passé lors des précédentes révolutions industrielles. C’est là que réside l’une des difficultés pour les assureurs qui veulent accompagner correctement les entreprises ».
« Ces cyber-risques peuvent d’ailleurs générer des dommages sans commune mesure avec ce que nous avons pu connaître par le passé lors des précédentes révolutions industrielles. »
Le marché de la cyber assurance est insuffisamment mature, de même que ses clients
Mais dans le même temps, Christophe Delcamp remarque également que le marché de la cyber assurance est insuffisamment mature, tant du côté des offres des assureurs, que des entreprises dans ce domaine. Et de donner des chiffres concrets. Selon la FFA, le poids du marché de la cyber assurance n’est que 135 M€ en primes, soit seulement 0,225 % des 60 MdE de l’assurance non-vie en France. « Aux Etats-Unis, le même ratio est lui de 0,56% pour 4 Md$ de primes. C’est faible certes, mais je constate une véritable dynamique car ce marché progresse de 29 % tant en France qu’aux Etats-Unis ».
Pourtant, le Sénat confirme que le nombre de victimes a été multiplié par quatre en 2020 et le revenu du cybercrime est évalué à 6 000 milliards de dollars en 2021, ce qui devrait représenter la troisième économie mondiale derrière les États-Unis et la Chine en 2025 selon Marc Bothorel, référent cybersécurité national de la Confédération des petites et moyennes entreprises (CPME).
Les entreprises ont un défaut de connaissance des enjeux des risques cyber, de la culture du risque et de prévention
Par ailleurs, Christophe Delcamp déplore pour la FFA que « du côté des entreprises, quelle que soit leur taille, nous constatons un défaut de connaissance des enjeux des risques cyber, de la culture du risque et de prévention. Et du côté des assureurs également, qui doivent aussi monter en compétence sur la connaissance technique du risque ».
Il exhorte donc, à la grande satisfaction de la CGPME, les PME et les collectivités locales entreprises à favoriser la cyber prévention et sensibilisation de leurs équipes « car sans prévention, il n’y a pas d’assurance ». Marc Bothorel leur conseille d’utiliser aussi leurs budgets formation pour les formes sur les questions de cybersécurité. La CNIL pourrait participer à cet effort de formation au titre des mesures de protection des données personnelles (RGPD). Christophe Delcamp également précisé que les membres de la FFA clarifient leurs offres de cyber assurance, « démarche qui est en cours depuis 2020 et qui sera finalisée en 2022 ».
L’État devrait créer un fonds de réassurance… et financer l’équipement cyber des PME
Toujours sur le registre des solutions à apporter, Stéphane Blanc recommande à l’État de tout faire pour redonner confiance aux assureur, surtout compte-tenu des enjeux géopolitiques. Le président d’Antemeta conseille au Gouvernement « de créer un fonds de réassurance. Par ailleurs, l’entrepreneur devra pouvoir déduire fiscalement tout ou partie de son investissement dans des services de secours numériques en cas de cyberattaque, mais il conservera à sa charge la myriade d’outils censés le protéger contre les cyberattaques. Côté assureurs, je les invite à labelliser des solutions de secours en services managés, aux niveau du PRA, de la sauvegarde, encadrés par les labels tiers de confiance, au même titre que l’archivage. Cela contribuera à créer un écosystème fiable grâce à des audits réguliers menés par les assureurs auprès de ces tiers de confiance ».
Marc Bothorel évoque quant à lui un possible financement par l’État de la cyberprotection des TPE et PME pour les aider à se former et à s’équiper, « et de préférence avec des équipements français. A l’image du chèque France Num créé en 2021 et du Crédit d’impôt de 2005 pour les équipements réseaux ».
Enfin, la Délégation Sénatoriale aux Entreprises invite aussi les pouvoirs publics à définir rapidement l’encadrement de l’assurance cyber, en s’appuyant sur une dynamique européenne, et en prenant position sur la question du paiement des rançons, comme le Sénat l’a demandé.
