Assurance cyber, un cadre législatif encore incomplet

L’assurance cyber est un domaine en constante évolution dans un cadre législatif encore en construction. À l’ère de la transformation digitale, les organisations sont de plus en plus exposées à des risques tels que les attaques par hameçonnage, le sabotage ou encore les attaques par rançongiciel. Selon le dernier rapport publié par Allianz en octobre 2023, « le nombre de victimes de ransomware a bondi de 143 % au niveau mondial au cours du premier trimestre de 2023 ». Dans ce contexte, l’assurance cyber émerge comme un outil essentiel pour atténuer les conséquences financières et opérationnelles de ces incidents.  

Dossier Assurance cyber 1/5 – Assurance cyber, un marché encore embryonnaire

Cependant, le cadre législatif de l’assurance cyber est en perpétuelle mutation, reflétant la nature dynamique des cybermenaces. Par exemple, aujourd’hui les entreprises doivent gérer l’utilisation de l’IA générative par leurs employés. Comme l’indique une étude réalisée en 2023 par Ray Canzanese, Threat Research Director du Threat Labs de Netskope, « pour 10 000 utilisateurs, les entreprises subissent chaque mois environ 183 incidents de partage de données sensibles avec l’application ChatGPT (…). On dénombre également des données réglementées, notamment financières ou médicales, et des informations personnellement identifiables (IPI). Les organisations doivent donc prendre des contre-mesures sérieuses pour préserver la confidentialité et la sécurité de leurs données sensibles ». 

Face à ces problématiques, les gouvernements s’efforcent d’adapter leurs lois pour mieux répondre aux défis posés par la cybercriminalité tout en encourageant les entreprises à renforcer leur résilience numérique. Cette évolution rapide crée un environnement complexe pour les assureurs qui doivent constamment ajuster leurs offres pour rester en phase avec les nouvelles réglementations et les tendances émergentes en matière de cybersécurité. 

Un cadre législatif cyber en plein essor ces dernières années 

 L’initiative majeure de cette mutation provient du rapport de Valéria Faure-Muntian d’octobre 2021. Ce rapport a mis en lumière la nécessité d’un cadre juridique clair en matière de risque cyber. Il souligne non seulement le besoin de définitions claires, mais aussi le fait que les assureurs devraient davantage se concentrer sur la prévention plutôt que sur l’indemnisation des rançons. 

Dossier Assurance cyber 2/5 – Risque cyber, de quoi parle-t-on ?

Le rapport Faure-Muntian propose une interdiction légale pour les assureurs de garantir, couvrir ou indemniser les rançons demandées après une cyber-attaque. Il encourage plutôt la prévention, l’accompagnement et l’assurance des conséquences pour une entreprise. Il recommande aussi des sanctions pour les entreprises qui procèdent au paiement des rançons, que ce soit directement ou par l’intermédiaire d’un tiers. C’est ainsi que la France et quarante autres pays se sont engagés à ne plus payer les rançons des cyber attaques. 

Cette vision préventive a été complétée par l’introduction en Europe du Cyber Solidarity Act du 18 avril 2023 qui vise à renforcer les capacités de l’UE dans la détection des risques, la préparation et la réaction face aux menaces et attaques cyber en mettant en place un « Cyber Bouclier » constitué de centres d’opérations de sécurité (SOC). Le Cyber Solidarity Act sera complété par le règlement DORA, adopté en janvier 2023 par la Commission Européenne, qui entrera en application en janvier 2025. Son adoption marque une prise de conscience collective de la nécessité de garantir une résilience numérique dans le secteur financier. Il exige des compagnies d’assurance et de réassurance qu’elles adoptent une posture proactive face aux menaces numériques. 

Les points essentiels du règlement DORA

Enfin, la loi LOPMI, adoptée en avril 2023, a récemment renforcé l’encadrement des sinistres cyber. Elle rend possible la couverture assurantielle du risque cyber et impose, dans son article 5, de signaler toute attaque cyber sous 72 heures.

Un marché ouvrant des opportunités aux assureurs

Avec ces changements de législation, les assureurs affinent leur offres cyber. Et de nouveaux acteurs se dévoilent, comme Amazon qui se tourne vers les PME pour leur proposer une assurance dans de moindres délais et ainsi prendre place dans le marché des assurances cyber.

La loi offre en effet aux compagnies d’assurance un cadre permettant d’affiner l’évaluation des risques cyber. Avec des données plus détaillées et actualisées sur ces incidents, les assureurs sont en mesure de calibrer plus précisément leurs propositions d’assurance. « L’influence de la LOPMI dépasse le cadre des assurances cyber. En effet, nous observons que des assureurs, y compris ceux offrant des couvertures pour dommages aux biens, commencent à indemniser des sinistres résultant d’attaques informatiques et à inclure des clauses liées à la LOPMI dans leurs contrats d’assurance », explique Pierre-Henri Loret, Senior Broker – Cyber Leader chez AON France. Cela illustre une prise de conscience croissante du fait que les cyberattaques peuvent avoir des conséquences matérielles et ne sont plus des menaces isolées aux systèmes d’information.

Enfin, pour se conformer aux exigences du RGPD, les entreprises doivent réaliser des audits de sécurité, développer des plans de conformité des données, veiller à ce que les sous-traitants respectent les normes du RGPD ou encore mettre en place des procédures de notification des violations de données. Ainsi, selon Cyber Cover, peut être utile pour réduire les coûts liés à une violation de données en couvrant les dépenses liées à la gestion de crise. Elle peut être également utile à la remise en ligne des systèmes défaillants, à l’intervention d’experts et à la représentation juridique en cas de réclamations civiles.

4 exemples de produits d’assurance cyber liés au RGPD

Un cadre législatif qui laisse des interrogations en suspens

Pourtant, malgré l’effort des institutions françaises et européennes, le risque cyber reste difficile à appréhender. Selon l’ACPR, « les assureurs peuvent mieux faire » dans la gestion de ce risque en constante évolution : le nombre de violations de données continue d’exploser car les règles de base pour se prémunir de ces attaques ne représentent pas encore un « réflexe » pour les compagnies assurées.

Avec le développement technologique des intelligences artificielles comme ChatGPT, les attaques cyber se développent plus vite et plus efficacement, ce qui met durement à l’épreuve les entreprises. Ces nouveaux outils peuvent engendrer des failles de sécurité, notamment lorsque les utilisateurs les utilisent avec des données sensibles.

En outre, la rédaction des s’avère particulièrement complexe pour le cyber. Les assureurs se retrouvent face à un dilemme : ils peinent à déterminer les éléments à assurer et s’interrogent sur la pertinence d’indemniser avec un montant maximal en raison de la forte volatilité des risques cyber. Cette incertitude est renforcée par le fait que la législation autour de la cyber assurance est relativement récente et en constante évolution. En conséquence, il y a une réelle difficulté pour les assureurs à se lancer dans la création de produits cybers adaptés et suffisamment flexibles pour s’ajuster à un paysage de menaces en évolution rapide tout en restant conformes aux cadres réglementaires.

Un besoin de clarification sur les questions d’assurabilité est donc nécessaire notamment :

• en termes d’exclusion de couvertures : doit-on par exemple indemniser une entreprise victime d’attaque cyber si cette dernière ne met aucun moyen en place pour sa cyber sécurité ?
• en termes d’assurabilité : quelles sont les attaques que l’assureur est en mesure d’assurer ? Doit-on accepter dans son portefeuille tout type d’activité ?
• en termes de définition du risque cyber : sera-t-il possible de donner du risque cyber une définition commune et adoptée par tous les acteurs de l’assurance ?

Conclusion

Les entreprises, face à des attaques cyber changeantes et à une législation en mouvement, doivent s’adapter rapidement. Pour l’assurance cyber, il est donc vital de développer des modèles de couverture innovants qui répondent efficacement à la problématique de la rareté et de la fiabilité des données. Les assureurs doivent investir dans la recherche et la conceptualisation de modèles d’assurance capables de fournir une évaluation des risques pertinente et de s’ajuster aux spécificités de chaque entreprise. Cette démarche vers une personnalisation et une flexibilité accrue des produits d’assurance cyber permettra de mieux se défendre face à la menace grandissante des attaques cyber.