Face au ransomware, le secteur de l’assurance cyber s’interroge. Ces polices d’assurance visent à couvrir les entreprises face aux impacts financiers des attaques informatiques dont elles sont victimes.
Mais la montée en puissance des ransomwares pose de nouveaux défis à ce secteur encore jeune. A tel point que la députée LREM Valeria Faure-Muntian s’est emparée du sujet dans un rapport parlementaire publié le 13 octobre. Un sujet assez naturel pour cette députée, qui a commencé sa carrière dans le milieu des assurances et qui a multiplié les interventions sur les sujets liés au numérique depuis le début de son mandat.
La question de la rançon
Parmi les problématiques qui agitent le secteur de l’assurance cyber, la question du paiement des rançons est l’une des plus médiatisées. Le reproche souvent formulé aux assureurs est de proposer des offres permettant de couvrir le paiement de la rançon, ce qui finance in fine les cybercriminels et engendre un cercle vicieux. Mais en l’état, le paiement d’une rançon n’est pas illégal, sauf à prouver que celle-ci financera par la suite une entreprise terroriste.
Le rapport propose donc de « clarifier la législation en matière de paiement des rançongiciels », une proposition qui se traduit dans le texte du rapport par une volonté « d’inscrire dans la loi l’interdiction pour les assureurs de garantir, couvrir ou d’indemniser la rançon ».
Cette proposition mérite néanmoins d’être nuancée, comme le rappelait Guillaume Poupard aux Assises de la Sécurité : « les assureurs sont les premiers à réclamer des règles en la matière. Cela n’ira probablement pas jusqu’à une interdiction stricte du paiement des rançons, quand on sera confronté à des questions de vie ou de mort, on veut pouvoir payer. Mais il est nécessaire d’avoir une plus grande transparence sur ces sujets ».
Le directeur de l’Anssi et la procureure de la section J3 du parquet de Paris avaient fustigé en début d’année les « intermédiaires et les assureurs » trop enclins à payer les rançons. Dans ses dernières prises de parole, le dirigeant adopte un ton plus mesuré à l’égard du secteur de l’assurance cyber, qui a selon lui « un rôle essentiel » à jouer pour pousser les entreprises à adopter les bonnes pratiques en matière de cybersécurité.
Trouver le point d’équilibre
Mais que l’on paye ou non la rançon, le ransomware coûte cher aux entreprises, et donc à leurs assurances. Comme nous l’explique Diego Sainz, référent technique Cyber chez Verspieren, l’arrivée du ransomware a changé la donne pour les assureurs : « auparavant, on constatait une sinistralité assez faible.
Mais on voit aujourd’hui une explosion du taux, avec la vague du ransomware, les acteurs du marché de l’assurance sont donc perdants sur le rapport sinistre/risque ». Ce qui conduit à un autre effet pervers : la hausse des primes exigées par les assureurs, une tendance forte de cette année et qui n’est pas encore sous contrôle.
Le dernier rapport de l’AMRAE (Association du Management des Risques et des Assurances de l’Entreprise) indique ainsi que le secteur cherche encore son « point d’équilibre » et estime que le marché va « certainement continuer de se tendre jusqu’au prochain 1er janvier 2022, avec des conditions d’assurance qui continueront de durcir ». La situation pourrait alors s’équilibrer « si la sinistralité cyber reste stable » : comprendre si la situation n’évolue pas à nouveau dans un sens ou dans l’autre.
Les TPE/PME peinent à se faire assurer
Cette situation tendue du marché fait partie des raisons qui réservent souvent l’assurance cyber aux grandes entreprises, aux dépens des TPE et PME pourtant aussi touchées par les attaques informatiques. « Les primes d’aujourd’hui ont considérablement augmenté par rapport à leur niveau d’il y a trois ans. C’est donc difficile pour des petites entreprises de s’assurer maintenant, même si elles en ont besoin », explique Diego Sainz.
Outre la question des prix, les petites entreprises font également face à un durcissement des critères de sélection : « certains manquements dans le domaine de la cybersécurité ne sont plus tolérés par les assureurs. Dans le passé, un assureur pouvait accepter de couvrir une entreprise qui ne met pas en place une segmentation systématique de son réseau par exemple, mais dans la situation actuelle, ce type de manquement est plus compliqué à faire passer ».
Une difficulté des petites entreprises que l’on retrouve également dans le rapport parlementaire de la députée Faure Muntian, qui rappelle les chiffres mis en avant par l’AMRAE en début d’année. Pour lutter contre cette tendance, le rapport préconise plusieurs mesures : inciter à la création d’un mécanisme d’évaluation des offres de cyberassurance, harmoniser les critères d’analyse des risques cyber entre les assureurs, ou encore développer des offres hybrides de cybersécurité et d’assurances cyber à destination des TPE/PME et des collectivités. Des mesures qui pourraient à moyen terme venir aider à stabiliser un marché qui cherche encore son équilibre.
