Si la cyberassurance s’est  incontestablement développée ces dernières années , le sujet reste souvent sensible aujourd’hui. Et donne régulièrement matière à insatisfaction. « Les niveaux de franchise qu’on me propose sont trop élevés : j’ai l’impression de payer des primes pour un risque qu’en réalité j’assure en grande partie moi-même ! », se plaignait récemment le directeur informatique d’un grand groupe français, doté de nombreuses filiales à l’étranger.

Résultat, malgré une sensibilisation de plus en plus vive au risque cyber, beaucoup d’entreprises font aujourd’hui encore l’impasse sur l’assurance. Une étude récente du groupe d’audit et conseil Deloitte (1) montrait ainsi que seules 24 % des entreprises sondées avaient souscrit à une assurance en lien avec les risques de cybersécurité. Pourtant, « souscrire à une cyberassurance permet de minimiser l’impact financier suite à un incident mais également d’effectuer une évaluation préalable du niveau de risque de sécurité pour ainsi connaître le niveau de maturité de son système d’information et ses différentes vulnérabilités », soulignait Michael Bittan, associé responsable des activités cybersécurité chez Deloitte. Lorsqu’une assurance est souscrite ? Les options de couverture des risques concernent tout d’abord, la perte de données personnelles (42 %), la protection de la propriété intellectuelle (32 %), les virus et ransomwares (24 %), l’image de marque de l’entreprise (20 %) et l’incident de sécurité (15 %).

Un marché de 3,5 milliards de dollars

Face à la menace, le Club des Juristes s’est saisi du sujet. Sa commission « ad hoc cyber risk » vient de publier un rapport intitulé « Assurer le Risque cyber » qui dresse un tableau de la situation et propose dix « préconisations pour mieux assurer le risque cyber ». Le document rappelle que, si le marché mondial de l’assurance cyber est estimé entre 3 et 3,5 milliards de dollars, l’Amérique capte 85 à 90 % de ces primes, laissant à l’Europe 5 à 9 % du marché mondial, la France ne représentant que 40 millions d’euros de primes. « La demande d’assurance cyber est encore bridée », indique le rapport. En raison tout d’abord « d’un déficit de compétences techniques et juridiques qui empêche de nombreux acteurs économiques d’appréhender le risque cyber de façon pertinente », mais aussi de la sous-estimation persistante du risque cyber dans de nombreuses entreprises, de la méconnaissance des couvertures cyber par les dirigeants d’entreprises et enfin du manque de « corrélation entre les primes et le risque ».

Cette dernière serait liée, « comme sur tous les marchés immatures », aux incertitudes qui planent sur la « quantification du risque », du fait de l’« absence de statistiques sur les sinistres, méconnaissance technique de la vulnérabilité, absence de certitudes en matière de prévention et de protection ». Pourtant, comme le souligne Valérie Lafarge-Sarkozy, avocat associé du cabinet Altana, et secrétaire général de la commission, « le risque cyber doit être assuré. Et pas que dans les grandes entreprises : les PME sont elles aussi concernées par ce risque émergent ; elles font de plus en plus l’objet d’attaques organisées. Outre la couverture financière, l’assureur conduit à la réalisation d’une cartographie des risques et à une sensibilisation des salariés ».

Dix préconisations

Parmi les pistes proposées pour améliorer la situation, certaines sont à destination des assureurs et gestionnaires de risque. Ainsi, il leur faudrait « accélérer le développement d’une culture du risque cyber », et « expliquer clairement les contenus des différentes couvertures cyber et faciliter la comparaison des offres d’assurance », ou encore « renforcer la relation de confiance entre assureurs et assurer dans la gestion des contrats cyber ». D’autres préconisations s’adressent aux assureurs, réassureurs, à l’ANSSI et à la CNIL : « développer un cadre de sécurité numérique pour les TPE/PME, mutualiser les données résultant d’incidents cyber, piloter les expositions et les cumuls de risques des assureurs et réassureurs ».

Les dernières voies, enfin, s’adressent aux instances européennes ou aux pouvoirs publics français : « définir un ensemble de normes techniques facilitant l’évaluation du niveau de sécurité cyber des assurés, établir les conditions d’une concurrence équitable entre les assureurs cyber, mettre en place une veille réglementaire et un suivi de l’évolution des marchés et, enfin, orienter l’investissement vers l’émergence d’une filière d’excellence en cyber-technologie ».

Si ces pistes ne sont pas véritablement révolutionnaires, les juristes auront au moins démontré leur volonté de s’impliquer dans ce qui est désormais devenu un sujet de Place. Deux autres cahiers devraient suivre, « examinant la dimension juridique puis les conditions de prévention de ce nouveau cyber-risque, qu’il va falloir nous habituer désormais à comprendre, à combattre et à gérer », pour reprendre les propos de Bernard Spitz, président de la Fédération Française de l’Assurance (FFA) et président de la Commission Cyber Risk du Club de Juristes, en introduction du document.

(1) – Enquête réalisée par Deloitte au deuxième trimestre 2017, auprès d’un panel de responsables métiers, IT et Cyber de 403 entreprises.

(2) – Rapport « Assurer le risque Cyber », janvier 2018, publié par le Club des Juriste et rédigé par sa « Commission ad hoc cyber risk », dont le président est Bernard Spitz, président de la Fédération Française de l’Assurance (FFA) et la secrétaire générale Valérie Lafarge-Sarkozy, avocat associé du cabinet Altana.