Assurances cyber : les pistes du rapport Faure-Muntian

Assurances cyber rapport Faure

Certifications, rançons, coordination de l’écosystème… L’Assemblée nationale esquisse une première série de proposition pour les assurances cyber.

Faut-il interdire aux assureurs d’indemniser les rançons que versent leurs clients victimes de cyberattaques ? On a pu entendre des appels en ce sens jusqu’aux sommets de l’appareil d’État. Le législateur ne s’était pas encore formellement prononcé… jusqu’à la publication d’un rapport de l’Assemblée nationale. Plus précisément d’un groupe d’études « Assurance » que préside la députée Valéria Faure-Muntian (LaREM, Loire).

La proposition est sans équivoque : « inscrire dans la loi l’interdiction pour les assureurs de garantir, couvrir ou [indemniser] la rançon ». Le groupe de travail admet que les arguments juridiques qui la soutiennent (financement du terrorisme, incitation au « crime organisé », etc.) sont sujets à interprétation. Aussi, il invite à poser un regard pratique sur le phénomène : l’indemnisation encourage le paiement, qui encourage la cybercriminalité. Et de pointer les effets potentiels d’une directive du Trésor américain datée d’octobre 2020. Celle-ci réserve au gouvernement le droit d’infliger des sanctions aux payeurs de rançons. Elle explique peut-être pour partie l’augmentation des attaques en France, les criminels se reportant sur ce « marché » où les couvertures existent… et où ils peuvent tirer des profits.

Le rapport Faure-Muntian ne marque, en revanche, pas d’opposition à la couverture et à la prise en charge des amendes administratives. Il recommande néanmoins de subordonner l’activation des garanties de cyber-assurance à un dépôt de plainte auprès des services compétents.

Définir le cyber avant de l’encadrer

Avant d’adapter le cadre juridique, on aura eu soin d’harmoniser la définition des termes « cyber-risque » et « cyber-attaque ».
Pour le premier, le rapport préconise « ensemble de risques liés à une utilisation malveillante des systèmes informatiques et des technologies de l’information des particuliers, des administrations ou des entreprises ».

Pour le second, il propose « acte malveillant visant à altérer les systèmes d’information (logiciels, fichiers, ordinateurs, serveurs, téléphones mobiles…) ».
Dans l’absolu, c’est moins précis que la définition qu’en donne la Matmut : « Atteinte à des systèmes électroniques et/ou informatiques, des données informatisées (personnelles, confidentielles ou d’exploitation) à la suite d’un acte malveillant, une erreur humaine, une panne ou un problème technique. L’objectif est de détourner ou voler des données personnelles et/ou confidentielles, de paralyser l’activité de l’entreprise ou extorquer des fonds ». Ou que celle de Northbridge Assurance : « risques de perte financière, d’interruption des activités ou d’atteinte à la réputation
d’une entreprise en raison d’une défaillance des systèmes de technologies de l’information. Il peut s’agir d’une intrusion volontaire, involontaire ou liée aux technologies de l’information ».

En quête de cohérence

Le rapport formule aussi des propositions pour renforcer l’écosystème français de cybersécurité. Un constat se détache à son propos : le « manque de lisibilité dans la cohérence d’ensemble ». Il s’applique plus particulièrement aux dispositifs de lutte contre la cybercriminalité. Parmi eux :

– La SDLC, une sous-direction de la police judiciaire du ministère de l’Intérieur

– La BL2C au sein de la préfecture de police de Paris

– Rattachées à Bercy, la cellule Cyber douane de la DNRED, Tracfin et le service national des enquêtes de la DGCCRF

– Le C3N et le ComCybGend chez la gendarmerie nationale

Pour ces organes, les recommandations consistent essentiellement en un renforcement des moyens matériels, financiers et humains. En première ligne, le GIP ACYMA (Cybermalveillance.gouv.fr).

Du côté des fournisseurs, outre le manque de coordination, est la difficulté d’accéder à la certification de l’ANSSI. Sur ce point, le rapport préconise d’instaurer des certifications intermédiaires. Elles permettraient aux entreprises du secteur de travailler avec les TPE/PME/ETI et collectivités. Tout en favorisant la collaboration avec l’industrie de l’assurance.

Sensibilisation… et contraintes

Le rapport n’élude pas la nécessité d’actions de sensibilisation auprès des salariés. Elles font d’ailleurs l’objet d’une proposition. Tout comme :

– La création de prérequis en matière de cybersécurité pour les entreprises comme pour les collectivités

– L’orientation de certaines aides publiques vers les audits de cybersécurité

– L’obligation de se doter d’une police d’assurance cyber pour les entreprises qui travaillent pour et/ou avec l’État et/ou des OIV/OSE

Vers des offres cyber hybrides ?

Certaines propositions visent à dynamiser le marché. En l’état, constate le groupe de travail, les offres sont « concentrées aux mains d’un petit nombre de porteurs de risques ». Et qui viennent historiquement des États-Unis ou du Royaume-Uni. Ce qui pose la question de l’accès à la structure et aux secrets des affaires des assurés.

L’un des leviers pourrait se trouver dans la formation des réseaux de distribution. « Le taux de pénétration ne s’améliorera pas sans une formation particulière des agents », nous explique-t-on. Qu’il s’agisse des réseaux salariés, des agents généraux ou des courtiers en assurance.

Parmi les autres recommandations :

– Inciter à la création d’un mécanisme d’évaluation des offres de cyber-assurance

Harmoniser les critères d’analyse des cyber-risques entre les assureurs

– Créer une nouvelle branche d’assurance dédiée à la cyber

– Développer des solutions hybrides de cybersécurité et de cyber-assurance pour les PME et les collectivités

Illustration principale © Askhat – Adobe Stock