Cyber-risque : 10 préconisations du Club des Juristes pour « assurer »

club-juristes-cyberguide-assurance

Malgré les cyberattaques et le RGPD, les entreprises françaises sont encore peu couvertes contre le cyber-risque. Un rapport du Club des Juristes veut changer la donne.

Les entreprises françaises sont encore peu couvertes contre le cyber-risque, observe le Club des Juristes .

Toutefois, le laboratoire d’idées qui regroupe magistrats, avocats, notaires, professeurs et représentants d’entreprises, reste vigilant dans son rapport intitulé « Assurer le risque cyber ».

La généralisation de la menace et les nouvelles obligations intégrées à l’arsenal juridique de protection des systèmes d’information (SI) et des données feront évoluer le marché et ses acteurs.

Ainsi, le Règlement général sur la protection des données (RGPD) et la directive européenne sur la sécurité des réseaux et des systèmes d’information (NIS – Network and Information Security) vont entrer en vigueur, en mai 2018.

Et les sanctions financières que pourront infliger les autorités régulatrices (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial en cas de manquement aux obligations du RGPD) devraient inciter un plus grand nombre d’entreprises à transférer le risque vers l’assurance.

C’est dans ce contexte, que la commission Cyber Risk du Club des juristes présidée par Bernard Spitz, également Président de la Fédération française de l’assurance, a travaillé.

Le rapport de la commission s’adresse aux assureurs, réassureurs, investisseurs, pouvoirs publics et autorités compétentes (ANSSI, CNIL..).

Transfert « éclairé » du risque

Dix préconisations sont formulées pour un transfert « rationnel et éclairé » du risque :

1. Accélérer le développement d’une culture du risque cyber.
2. Expliquer les contenus des couvertures cyber et faciliter la comparaison des offres.
3. Renforcer la relation de confiance entre assureurs et assurés.
4. Développer un cadre de sécurité numérique pour les TPE/PME.
5. Mutualiser les données résultant d’incidents cyber.
6. Piloter les expositions et les cumuls de risques des assureurs et réassureurs.
7. Faciliter l’évaluation technique du niveau de sécurité cyber des assurés.
8. Etablir les conditions d’une concurrence équitable entre les assureurs cyber.
9. Mettre en place une veille réglementaire et un suivi de l’évolution des marchés.
10. Orienter l’investissement vers une filière française/européenne de cyber-protection.

Couvrir grands groupes et PME

« Aujourd’hui, le marché mondial de l’assurance cyber est estimé entre 3 et 3,5 milliards de dollars. Le marché américain capte 85 à 90% de ces primes. L’Europe, elle, ne représente encore que 5 à 9% de ce marché, soit un montant maximum de 255 millions d’euros (300 millions de dollars) de primes, sur lesquels la France ne représente que 40 millions d’euros », explique Bernard Spitz en introduction du rapport.

« Il y a de toute évidence un immense décalage entre pays développés quant à la perception du risque et à l’investissement assurantiel consenti pour s’en protéger », ajoute le dirigeant.

Par ailleurs, ce sont surtout les grandes groupes qui sont assurés contre le cyber-risque. C’est le cas par exemple d’Orange et Atos, partenaires du Club des juristes.

En revanche, les TPE/PME sont rarement couvertes par une assurance cyber. Or, les PME comptent pour 60% des attaques recensées contre des entreprises en France.

Les acteurs du marché de l’assurance cyber ont donc une marge de manoeuvre importante pour convaincre.

Lire également :

Cybermenaces : un guide AFNOR pour accompagner les entreprises

Le RGPD arrive : les responsables de la sécurité IT sous pression

(crédit photo : shutterstock)