Le ministère de l'économie est favorable à l'indemnisation des cyber-rançons par les assureurs

C'est un texte qui est publié dans un contexte pour le moins propice. Quinze jours après la retentissante cyberattaque dont a été victime le Centre hospitalier Sud francilien de Corbeil-Essonnes, Bercy s'apprête à dévoiler ce mercredi un rapport portant sur le développement de l'assurance-cyber. Dans celui-ci, le ministère de l'Economie se montre favorable à l'indemnisation des cyber-rançons par les assureurs selon le quotidien Les Echos qui a pu le consulter en amont. La création d'un observatoire de la menace cyber est également sur la table.

Le rapport s'inscrit d'ailleurs dans un processus législatif bien avancé puisque cette disposition est incluse dans le projet de loi d'orientation et de programmation du ministère de l'Intérieur, présenté également mercredi en conseil des ministres. Initialement présenté en mars dernier, le texte envisageait déjà ce principe d'indemnisation.

Des rançons moyennes de 6400 euros

Il intervenait dans la foulée d'une position similaire adoptée par le Haut Comité juridique de la place financière de Paris qui s'était ainsi opposé à l'Agence nationale de la sécurité des systèmes d'information (ANSSI) plutôt en faveur d'une interdiction ou à la rigueur d'un "encadrement strict" de ce type de garantie. Alors qu'un rapport parlementaire se prononçait également pour une interdiction fin 2021, le nouveau texte législatif passera au Parlement dès le mois prochain, lui qui n'avait pas pu être examiné au printemps.

Ce projet de loi, qui s'appuie sur les travaux de notre groupe de travail, constitue un point d'équilibre entre la volonté de ne pas financer l'écosystème des cyberattaquants et la volonté d'éviter la mort de PME et TPE touchées par une attaque" indique le ministère de l'Economie.

Si cette question suscite autant de débats et de prises de position antagonistes, c'est car la prise en charge de rançons n'est pas prohibée en France et que le versement de celles-ci participe au financement de cette forme de criminalité. "Le remboursement d'une rançon par l'assureur est a priori licite et peut être comparé à l'assurance couvrant le risque de vol dont le fait générateur est une effraction", souligne le rapport. Certaines rançons peuvent pourtant atteindre plusieurs millions d'euros bien que la moyenne des montants demandés se situe autour de 6400 euros en 2021 avec une hausse annuelle de 50% sur les cinq dernières années.

Un potentiel de croissance pour les polices d'assurance cyber

L'accélération du gouvernement sur cette thématique se justifie par une hausse de la cybercriminalité depuis la pandémie et par un risque accru d'attaques hors des frontières françaises. Ce risque découlerait d'une absence de cadre juridique clair qui peut rendre vulnérable les entreprises françaises à l'étranger ou celles-ci sollicitant une aide extérieure.

Les risques cyber sont une priorité du gouvernement pour protéger notre société, notre modèle social et notre souveraineté. La crise sanitaire a été un révélateur des opportunités qu'apportent les moyens numériques pour notre économie, mais aussi des risques encourus par les entreprises, notamment les PME et TPE. Or, sur le plan de l'assurance cyber, l'Europe est en retard sur les Etats-Unis", indique Bercy.

Cette clarification des autorités pourrait favoriser la croissance de la part des polices d'assurance cyber sur le marché de l'assurance dommage des professionnels qui frôlait les 4% en 2021 avec près de 220 millions d'euros de primes. Seuls quelques acteurs proposent aux grandes entreprises des contrats avec cette garantie avec des détachements de part et d'autre au cours des derniers mois. D'un côté, certaines entreprises jugent les garanties trop chères ou trop limitées pour souscrire à ces contrats tandis que certaines compagnies d'assurance comme AXA ou Generali ont tout simplement renoncé à les proposer pour ne pas être accusées d'entretenir un circuit criminel.