La cybercriminalité constitue l’une des menaces les plus importantes pour les entreprises, les institutions et les collectivités. C’est particulièrement le cas pour les établissements de santé, avec 730 incidents recensés en 2021 contre 369 en 2020. Le Haut Comité Juridique de la Place Financière de Paris (HCJP) vient de publier son rapport sur « l’assurabilité des risques cyber », établi sur la base des conclusions d’un groupe de travail présidé par Pierre Minor.
La cybercriminalité revêt différentes formes, mais le cyber rançonnage représente la menace la plus régulièrement observée. La place des assurances dans le dispositif de protection se pose en tant que technique de transfert d’un risque financier et en tant que soutien des entreprises face à cette menace croissante. L’assurance ne peut se concevoir que dans un cadre juridique clair permettant à la fois aux assureurs et aux assurés de bien cerner respectivement la portée de leurs engagements et la portée des couvertures souscrites.
Cyber assurance, un marché qui peine à se développer en Europe
Aujourd’hui, le marché de l’assurance cyber demeure confidentiel à l’échelon international ou national. En 2018 le marché mondial de la cyber assurance était estimé entre 3 et 3,5 milliards de dollars, le marché américain captant 85 à 90 % de ces primes. L’Europe ne représente encore que 5 à 9 % de ce marché, soit un montant maximum de 255 millions d’euros (300 millions de dollars) de primes. En 2020, le marché de l’assurance cyber est estimé à environ 7 milliards de dollars en primes émises brutes et devrait atteindre 20,6 milliards de dollars en 2025.
En France, France Assureurs l’estime à 135 millions d’euros par rapport à un encaissement global de l’assurance de dommage de près de 60 milliards d’euros. Le développement en Europe et plus particulièrement en France de l’assurance cyber, se heurte, d’une part, à des difficultés de structuration tant au niveau de l’offre que de la demande, d’autre part au manque de clarté du cadre juridique national.
La plupart des études de marché démontrent en effet que les entreprises sous-estiment l’impact des incidents cyber sur leurs activités et soit elles trouvent le surcoût de ce type d’assurance exagéré par rapport à leurs contrats traditionnels, soit elles n’identifient pas clairement le contenu des offres proposées.
Des questions juridiques complexes
Saisi par la Direction Générale du Trésor, le Haut Comité Juridique de la Place financière de Paris a constitué un groupe de travail chargé d’examiner le caractère complexe des questions juridiques soulevées par le sujet de l’assurance des risques cyber afin de les clarifier.
Le rapport du HCJP porte sur trois sujets majeurs : l’assurabilité des sanctions administratives et le cas particulier des sanctions prononcées par la CNIL ; l’assurabilité de la rançon en cas de cyberattaque ; le cadre juridique du risque de guerre et de ses mécanismes assurantiels dès lors que le fait générateur est de nature cybernétique.
Le HCJP considère que les sanctions administratives de nature pécuniaires ne sont pas assurables, mais laisse entrevoir une possibilité d’assurer des mesures correctrices imposées par l’autorité compétente. Il se prononce de façon affirmative sur la licéité du paiement des rançons et la possibilité de leur couverture assurantielle, tout en rappelant les limites fixées par la règlementation relative au blanchiment d’argent et au financement du terrorisme.
Le HCJP conclut enfin à la nécessité de clarifier la définition légale du risque de guerre pour y intégrer le risque de guerre cybernétique.
Source : rapport du HCJP
Pour en savoir plus sur la cyberassurance :
- https://www.lassuranceenmouvement.com/wp-content/uploads/2021/10/Rapport_La-Cyber-assurance_Valeria_Faure-Muntian_13102021.pdf
- https://www.lassuranceenmouvement.com/2022/01/19/cyberassurance-lintelligence-artificielle-pour-aider-les-assureurs/
- https://www.lassuranceenmouvement.com/2022/02/04/angleterre-kynd-et-le-risque-cyber/
