Cyberattaques : l'État va-t-il jouer le rôle d'assureur pour les entreprises ?

L'État va-t-il aider les assurances à couvrir les risques cyber ?

À mesure que les attaques cyber se multiplient, les assureurs militent pour une réponse aux entreprises qui combineraient pouvoirs publics et privés. Mais avant d'y parvenir, il convient de définir les termes mêmes qui englobent le risque cyber. Pour certains, la décision doit même se jouer au niveau européen.

Par Emre Sari

Publié le 11/19/2021

"Nous sommes très préoccupés par l’ampleur de la menace cyber." Ces mots sont ceux du sous-directeur des assurances de la Direction générale du Trésor, Lionel Corre. Dans une vidéo datée du 30 juin 2021, il annonce une consultation nationale pour mettre au point une "offre assurance cyber, adaptée à notre économie et articulée avec l’action des pouvoirs publics." En clair, l’État se décide à agir, concernant la couverture des cyberattaques subies par les entreprises.

Manque de couverture

Cette consultation fait suite à de nombreux signaux d’alarme, donnés par les compagnies d’assurances qui expliquent qu’elles et leurs clients se trouvent, aujourd’hui, au pied du mur. Les assurances cyber, basées sur le modèle d’un risque "classique", et parfois incluses dans une police plus large, montrent leurs limites. "On assiste à un effet ciseau, décrypte Valéria Faure-Muntian, députée de la Loire (LaREM), et autrice d’un rapport parlementaire sur la couverture des risques cyber. "Les assureurs, explique-t-elle, estiment que la couverture des attaques est trop risquée. Le résultat, c’est qu’ils se rétractent, ou imposent des cotisations et des niveaux de protection extrêmement élevés. Les entreprises ne peuvent pas remplir les conditions imposées." Pourtant, ce ne sont pas les préoccupations qui manquent. "Pour la première fois, [le risque cyber] prend la tête du classement des [préoccupations] aux États-Unis et la seconde place dans toutes les autres géographies", souligne le rapport d’Axa, Future Risk Report 2021, paru le 29 septembre.

Alors qu’il est de plus en plus considéré, le risque cyber est donc, paradoxalement, de moins en moins couvert.

Et aucune entreprise ne semble vraiment à l'abri. "Près de la moitié des entreprises françaises ont subi une cyber-attaque, contre à peine plus d’un tiers (34%) l’année précédente", révèle quant à lui un rapport de l’assureur Hiscox. Et les choses pourraient ne pas s’arrêter là : en Lituanie, en 2007, une attaque avait paralysé services publics, banques, et médias. En France, de telles situations n'ont pas été rencontrées. "Mais il ne faut pas se leurrer", insiste Alexandre Medvedowsky, président du Syndicat Français de l’Intelligence Économique. D’après lui, "ça va venir."

Risques aléatoires et risques systémiques

Les cyberattaques, par leur nature, interrogent les bases mêmes du droit assurantiel. "Le droit de l’assurance autorise à couvrir des risques aléatoires et non systémiques. Or, le cyber est un risque systémique potentiel. Il faut donc s'interroger sur la pertinence du système actuel", affirme Valéria Faure-Muntian.

C’est aussi pour cela, que le rôle de l’État est sollicité – y compris par les assureurs, dont Axa, qui milite depuis 2020 pour la création d’une "réponse public-privé" aux incidents cybers majeurs.

Comment l’État peut-il intervenir ?

"Il y a deux grands types de partenariats public-privé dans le monde de l'assurance", rappelle la députée Valéria Faure-Muntian. Le premier concerne les catastrophes naturelles : l’assuré paie une surcotisation à l’assureur, qui la reverse à l’État, qui abonde un fonds spécial. Le second concerne le risque terroriste : le risque est divisé entre pools d’assureurs avec une participation de l’État. 

Pour parvenir à un partenariat de ce type concernant les risques cyber, plusieurs étapes. "La première chose à faire est d’harmoniser les définitions, réclame la députée. Il faut que tout le monde parle le même langage. Qu’est-ce qu’un risque cyber, un sinistre, le niveau de sécurité minimum exigé… ? L’État pourrait imposer des définitions. Mais c’est au marché, sous pression des parlementaires et du gouvernement, de commencer à faire le job", estime-t-elle.

L’État pourrait aussi rendre obligatoire l’assurance contre le risque cyber, faisant bénéficier les compagnies d’une manne considérable de nouvelles primes. "Ces nouveaux coûts pourraient mécontenter en sortie de crise", objecte Guillaume Aksil, avocat spécialisé en droit des assurances. "Mais on pourrait néanmoins rendre obligatoire l’assurance si l’entreprise est importante pour l’économie", avance-t-il. Pour lui, le débat doit surtout se concentrer sur le bon montant de prime d’assurance "qui doit aussi permettre à l’assureur de réaliser un bénéfice." Ce qui suppose d’évaluer la valeur de la donnée et de compiler des statistiques… c'est probablement là l'ambition, de la consultation du Trésor, qui devrait devrait aboutir à une présentation au gouvernement fin 2021 et à un plan début 2022.