La question de l’assurabilité du risque cyber reste très pertinente

Lionel Corre est Sous-directeur des assurances à la Direction générale du Trésor. Il pilote notamment le nouveau groupe de travail sur l’offre assurantielle destinée à couvrir les risques Cyber, une initiative de Bercy lancée en juillet 2021 pour faire émerger une offre d’assurance adaptée aux besoins de l’économie française.

Le risque Cyber est-il un risque assurable ?

L’existence d’un marché de la cyber assurance en Europe et outre-Atlantique permet d’affirmer que le risque Cyber est aujourd’hui, au moins sous certaines conditions, assurable. Le coût global des incidents est demeuré jusqu’à présent bien inférieur à celui d’autres grands risques, comme les catastrophes naturelles. Il semble donc que les acteurs aient considéré qu’ils étaient en mesure de couvrir ce risque sans mettre leur solvabilité en danger. Les compagnies d’assurance et de réassurance identifient même ce segment comme porteur, et souhaitent contribuer au développement de cette activité relativement nouvelle, notamment au niveau européen.

Pour autant, la question de l’assurabilité de ce risque reste très pertinente. En pratique, peu d’entreprises sont couvertes en France (8 % des ETI en 2020 selon une étude publiée il y a quelques semaines par l’AMRAE, et proche de 0 pour les PME et TPE). Et pour les grandes entreprises, qui sont couvertes à 87 % selon cette même étude, les couvertures apparaissent limitées, avec une capacité moyenne de moins de 40 millions d’euros par an, alors que les récentes attaques ont généré plusieurs centaines de millions d’euros de sinistres, conduisant les assureurs et les réassureurs à réduire encore les capacités consacrées à ce risque et à augmenter le prix des couvertures.

Cette situation traduit notamment le fait qu’il s’agit d’un risque encore mal connu de l’assurance, et fortement évolutif. Nous avons peu de recul sur la fréquence et la sévérité des sinistres. Il n’existe pas de base de données statistique fiable, a fortiori en France et en Europe, et la modélisation des pertes associées à un sinistre Cyber donné est difficile. Ce problème est particulièrement saillant pour les sinistres extrêmes, qui en matière de Cyber peuvent avoir une portée systémique compte tenu de la forte interdépendance des systèmes informatiques. Or, cet aspect systémique n’est pas véritablement appréhendé aujourd’hui, et il est fort probable que les assureurs ne disposent pas d’une surface financière suffisante pour y faire face seuls, y compris avec leurs
réassureurs. Cela signifie qu’une part du risque serait inassurable, justifiant alors une intervention de l’État.

Face à cette situation, la Direction générale du Trésor a lancé une grande concertation nationale pour mobiliser tous les acteurs et identifier les conditions du développement des couvertures d’assurance Cyber pour les entreprises. Ce travail porte notamment sur la répartition du risque entre entreprises, assureurs et État, et donc sur le champ de l’assurabilité. Les courtiers spécialistes de ce risque, en particulier, participent activement aux groupes de travail mis en place dans ce cadre.

Faut-il reprendre à tête reposée les réflexions sur un régime d’assurance Pandémie ? Et y inclure le risque Cyber ?

Le gouvernement a fait le choix à ce stade de développer des outils de nature individuelle pour aider les entreprises à mieux se préparer en cas de survenance d’un nouveau risque exceptionnel comme la pandémie. Il s’agit en particulier du développement d’un mécanisme efficace de « captives » de réassurance, qui aura aussi vocation à contribuer à la gestion du risque Cyber par les entreprises. Pour autant, à plus long terme, la question d’un régime d’assurance pandémie reste posée. Nous restons convaincus que le partenariat public-privé pour la gestion des risques extrêmes est une excellente façon de gérer ces risques. En organisant ex ante un partage efficace des responsabilités, on contribue à l’anticipation et à la résilience. Pour autant, il faut que ce soit un réel partenariat, avec un vrai partage de sort, comme nous le faisons avec succès pour les catastrophes naturelles.

Par ailleurs, chacun de ces risques extrêmes est très spécifique : le Cyber, la pandémie ou encore les catastrophes naturelles, restent fondamentalement différents en termes d’événement déclencheur, d’historique et de dynamique du risque, ainsi qu’en termes de besoin d’assurance. Les modalités de gestion de ces risques et d’intervention des pouvoirs publics ne peuvent donc être identiques.

Ainsi, la concertation nationale en cours sur le risque Cyber, tout en s’inscrivant dans la continuité des travaux que nous avons menés sur les risques exceptionnels et pandémiques en 2020, se concentre sur ce seul risque – et c’est déjà un vaste sujet !;

Que pensez-vous d’une interdiction du paiement des rançons en cas d’attaque malveillante ?

Cela fait partie des questions posées dans le cadre de la concertation, et nous avons mis en place un groupe de travail dédié aux questions de garanties. Il s’agit notamment d’identifier ce qui se fait sur les autres marchés, d’effectuer des parangonnages et de mettre en lumière les meilleures pratiques.

Il est donc trop tôt pour dresser des conclusions. Pour autant, deux grandes idées apparaissent déjà claires. D’une part, une interdiction stricte du remboursement du paiement des rançons par les assureurs n’aurait de sens que si elle était très largement appliquée sur la scène internationale. A contrario, une interdiction à la seule échelle nationale serait vraisemblablement facilement contournée, tout en nuisant au développement des garanties en France et à la compétitivité des entreprises françaises – industrielles et d’assurance. D’autre part, le paiement des rançons dans le cadre de polices d’assurance Cyber contribue à favoriser le paiement des rançons, et est donc de nature à encourager les attaques, ce qui n’est évidemment pas non plus souhaitable.

Entre ces deux écueils, nous devons trouver la ligne de crête, dont nous débattons au sein du groupe de travail.

Quel doit être le rôle des courtiers vis-à-vis de leurs clients ?

Les courtiers ont et auront un rôle déterminant pour le développement des couvertures d’assurance Cyber. Comme l’a encore montré l’étude de l’AMRAE, les entreprises sont encore très peu couvertes. Donc non seulement il faut travailler sur l’offre, mais aussi sur la demande.

Les courtiers, grâce à la relation privilégiée qu’ils entretiennent avec leurs clients, ont un rôle clé à jouer en matière de sensibilisation des Français, à commencer par les entreprises, au risque Cyber et aux solutions qu’apporte l’assurance. Et, c’est au moins aussi important, à ce qu’elle n’apporte pas en elle-même et donc à la nécessité de se protéger et de prévenir le risque.

Les courtiers ont également un rôle à jouer dans le développement du capital humain en matière de connaissance du risque Cyber. Cela passe déjà par le renforcement de leur propre maîtrise de ce risque, et la formation des équipes : pour gérer ce risque, pour proposer des couvertures, mais aussi pour mener le travail d’accompagnement des entreprises vers la prise de conscience et la démarche de réduction de la vulnérabilité.