Pour gérer vos consentements :

Assurances cyber : les pistes du rapport Faure-Muntian

Faut-il interdire aux assureurs d’indemniser les rançons que versent leurs clients victimes de cyberattaques ? On a pu entendre des appels en ce sens jusqu’aux sommets de l’appareil d’État. Le législateur ne s’était pas encore formellement prononcé… jusqu’à la publication d’un rapport de l’Assemblée nationale. Plus précisément d’un groupe d’études « Assurance » que préside la députée Valéria Faure-Muntian (LaREM, Loire).

La proposition est sans équivoque : « inscrire dans la loi l’interdiction pour les assureurs de garantir, couvrir ou [indemniser] la rançon ». Le groupe de travail admet que les arguments juridiques qui la soutiennent (financement du terrorisme, incitation au « crime organisé », etc.) sont sujets à interprétation. Aussi, il invite à poser un regard pratique sur le phénomène : l’indemnisation encourage le paiement, qui encourage la cybercriminalité. Et de pointer les effets potentiels d’une directive du Trésor américain datée d’octobre 2020. Celle-ci réserve au gouvernement le droit d’infliger des sanctions aux payeurs de rançons. Elle explique peut-être pour partie l’augmentation des attaques en France, les criminels se reportant sur ce « marché » où les couvertures existent… et où ils peuvent tirer des profits.

Le rapport Faure-Muntian ne marque, en revanche, pas d’opposition à la couverture et à la prise en charge des amendes administratives. Il recommande néanmoins de subordonner l’activation des garanties de cyber-assurance à un dépôt de plainte auprès des services compétents.

Définir le cyber avant de l’encadrer

Avant d’adapter le cadre juridique, on aura eu soin d’harmoniser la définition des termes « cyber-risque » et « cyber-attaque ».
Pour le premier, le rapport préconise « ensemble de risques liés à une utilisation malveillante des systèmes informatiques et des technologies de l’information des particuliers, des administrations ou des entreprises ».

Pour le second, il propose « acte malveillant visant à altérer les systèmes d’information (logiciels, fichiers, ordinateurs, serveurs, téléphones mobiles…) ».
Dans l’absolu, c’est moins précis que la définition qu’en donne la Matmut : « Atteinte à des systèmes électroniques et/ou informatiques, des données informatisées (personnelles, confidentielles ou d’exploitation) à la suite d’un acte malveillant, une erreur humaine, une panne ou un problème technique. L’objectif est de détourner ou voler des données personnelles et/ou confidentielles, de paralyser l’activité de l’entreprise ou extorquer des fonds ». Ou que celle de Northbridge Assurance : « risques de perte financière, d’interruption des activités ou d’atteinte à la réputation
d’une entreprise en raison d’une défaillance des systèmes de technologies de l’information. Il peut s’agir d’une intrusion volontaire, involontaire ou liée aux technologies de l’information ».

En quête de cohérence

Le rapport formule aussi des propositions pour renforcer l’écosystème français de cybersécurité. Un constat se détache à son propos : le « manque de lisibilité dans la cohérence d’ensemble ». Il s’applique plus particulièrement aux dispositifs de lutte contre la cybercriminalité. Parmi eux :

– La SDLC, une sous-direction de la police judiciaire du ministère de l’Intérieur

– La BL2C au sein de la préfecture de police de Paris

– Rattachées à Bercy, la cellule Cyber douane de la DNRED, Tracfin et le service national des enquêtes de la DGCCRF

– Le C3N et le ComCybGend chez la gendarmerie nationale

Pour ces organes, les recommandations consistent essentiellement en un renforcement des moyens matériels, financiers et humains. En première ligne, le GIP ACYMA (Cybermalveillance.gouv.fr).

Du côté des fournisseurs, outre le manque de coordination, est la difficulté d’accéder à la certification de l’ANSSI. Sur ce point, le rapport préconise d’instaurer des certifications intermédiaires. Elles permettraient aux entreprises du secteur de travailler avec les TPE/PME/ETI et collectivités. Tout en favorisant la collaboration avec l’industrie de l’assurance.

Sensibilisation… et contraintes

Le rapport n’élude pas la nécessité d’actions de sensibilisation auprès des salariés. Elles font d’ailleurs l’objet d’une proposition. Tout comme :

– La création de prérequis en matière de cybersécurité pour les entreprises comme pour les collectivités

– L’orientation de certaines aides publiques vers les audits de cybersécurité

– L’obligation de se doter d’une police d’assurance cyber pour les entreprises qui travaillent pour et/ou avec l’État et/ou des OIV/OSE

Vers des offres cyber hybrides ?

Certaines propositions visent à dynamiser le marché. En l’état, constate le groupe de travail, les offres sont « concentrées aux mains d’un petit nombre de porteurs de risques ». Et qui viennent historiquement des États-Unis ou du Royaume-Uni. Ce qui pose la question de l’accès à la structure et aux secrets des affaires des assurés.

L’un des leviers pourrait se trouver dans la formation des réseaux de distribution. « Le taux de pénétration ne s’améliorera pas sans une formation particulière des agents », nous explique-t-on. Qu’il s’agisse des réseaux salariés, des agents généraux ou des courtiers en assurance.

Parmi les autres recommandations :

– Inciter à la création d’un mécanisme d’évaluation des offres de cyber-assurance

Harmoniser les critères d’analyse des cyber-risques entre les assureurs

– Créer une nouvelle branche d’assurance dédiée à la cyber

– Développer des solutions hybrides de cybersécurité et de cyber-assurance pour les PME et les collectivités

Illustration principale © Askhat – Adobe Stock

Recent Posts

La France a-t-elle les moyens de mesurer la menace ransomware ?

La France a-t-elle les outils pour évaluer la menace ransomware ? Éléments de réponse sous…

2 heures ago

Antitrust : Nextcloud rallie l’écosystème français contre Microsoft

Une dizaine d'entreprises françaises se liguent à la plainte que Nextcloud a déposée en début…

6 heures ago

Collaboratif : Jamespot étoffe son portefeuille avec Diapazone

L'éditeur logiciel français Jamespot ajoute la brique d'orchestration de réunions Diapazone à son offre collaborative…

3 jours ago

Gestion des secrets : pourquoi les équipes DevOps sont à la peine

Les pratiques DevOps de gestion des secrets d'une majorité d'organisations ne sont pas normalisées et…

3 jours ago

Visioconférence : qui sont les principaux fournisseurs ?

Qui sont les têtes d'affiche de la visioconférence et qu'attendre de leurs offres ? Éléments…

3 jours ago

Fargate : une nouvelle étape dans la transition Arm d’AWS

Le moteur serverless Fargate vient allonger la liste des services AWS exploitables avec les instances…

3 jours ago