Retour sur l'AMRAE qui s'est déroulée à Deauville dans de bonnes conditions (2300 congressistes) malgré un dispositif spécial pour cause de crise sanitaire. Nous remercions tous les interlocuteurs avec qui nous avons pu échanger et partager des analyses. Pour avoir participé à plusieurs réunions de souscription cyber en fin d'année derniÚre nous sentions que la situation était encore plus tendue qu'en 2020. Sans surprise, c'est sur le cyber que se concentrent les difficultés de renouvellement (non reconduction, explosion des primes, des franchises...)
Nous n'allons pas revenir sur le manque de capacitĂ©s que chacun connait ici mais sur le fait que trois ou quatre gros sinistres suffisent Ă les assĂ©cher. C'est le niveau des rĂ©clamations qui questionne quand on sait que les entitĂ©s concernĂ©es sont des grandes entreprises qui prĂ©sentaient toutes les garanties et les vertus en termes de gestion de la sĂ©curitĂ© informatique. Comment cela peut arriver lorsqu'on sait que ces attaques ne sont pas sophistiquĂ©es et qu'elles laissent de nombreuses traces et indices avant d'ĂȘtre dĂ©clenchĂ©es ?
Ainsi il n'est pas normal que moins d'1% des sinistres indemnisés perturbent autant le marché. Par effet de bord ces gros sinistres bloquent l'accÚs au marché des ETI (8% sont assurées) et des PME (moins de 1% sont couvertes).
La disparition de l'assurance cyber ?
Dans les allées de l'AMRAE nous avons eu des échanges intéressants, enrichissants, nous avons partagé nos vues et nos idées sur l'assurance cyber et ses évolutions possibles. Un point revenu souvent, c'est la disparition du marché de l'assurance cyber que plusieurs annoncent. Nous n'y croyons pas.
Les grands comptes ne sont plus un levier de croissance pour la cyberassurance. Les données sur la couverture des ETI et des PME (voir ci-avant) indiquent que la marge de progression est énorme et que des polices adaptées pourraient permettre de rééquilibrer le ratio prime sinistre. Encore faut-il que les services proposés en termes d'assistance soient efficaces et bon marché, ce qui n'est pas le cas aujourd'hui.
L'autre point reste la prévention et là encore, le bon sens et des rÚgles simples de gouvernance de la sécurité peuvent permettre à des moyennes structures de gagner rapidement en maturité et à moindre coût.
Nous avons la conviction que les courtiers peuvent jouer un rĂŽle moteur dans la prĂ©vention, tout comme les assureurs Ă travers des contrats adaptĂ©s. Le gain de technicitĂ© des acteurs de l'assurance cyber est essentiel, et doit ĂȘtre portĂ© au mĂȘme niveau que celui des autres spĂ©cialitĂ©s du dommage. Les ETI et les PME ont du mal Ă faire le tri parmi la myriade de solutions de cyber sĂ©curitĂ© plus ou moins pertinentes qui abondent. Le plus cher, n'est pas forcĂ©ment le meilleur. C'est lĂ que nous devons les aider.
Nous ne pensons pas que l'assurance cyber disparaitra. Objectivement, son développement est faible comparé aux 60 milliards de primes collectées en France (2020) sur l'assurance dommage.
En revanche, nous croyons à sa spécialisation par segment de marché et à la mise en place de nouveaux mécanismes (fonds, captives...). Chacun doit faire un pas vers l'autre : les assureurs doivent adapter leurs produits, les courtiers conseiller techniquement sur des bases solides, et les entreprises s'engager dans une démarche de prévention graduelle, et de transparence.
Paiement des rançons ou pas?
Autre sujet sur le lequel nous avons eu le plaisir d'échanger (et débat permanent) est le paiement des rançons. Le rapport (2021) sur la cyber-assurance de la député Faure-Muntian, propose "...d'inscrire dans la loi l'interdiction pour les assureurs de garantir, couvrir ou d'indemniser la rançon..." Rappelons qu'aujourd'hui qu'aucun texte ne sanctionne pénalement le paiement d'une rançon par une victime.
Le paiement d'une rançon est le dernier recours quand tout a été tenté, il ne s'agit pas d'un choix économique. C'est une décision prise pour éviter une faillite et la mise au chÎmage des collaborateurs d'une entreprise.
Cette garantie ne constitue pas aujourd'hui une activité illicite (au sens du Code civil, du Code des assurances, ou encore de la jurisprudence).
Sur le plan pĂ©nal, une infraction est cependant caractĂ©risĂ©e par la connaissance en amont du fait que les fonds fournis sont "destinĂ©s Ă ĂȘtre utilisĂ©s, en tout ou en partie, en vue de commettre un acte de terrorisme" (article 421-2-2 du CP). Il apparaĂźt que la grande majoritĂ© des pays nâinterdit pas lâassurabilitĂ© du remboursement des rançons en cas de cyberattaque mais la subordonne Ă certaines conditions (notamment la lutte contre le blanchiment et le terrorisme). Donc, le risque n'est pas nĂ©gligeable.
Soulignons tout de mĂȘme qu'Ă ce jour, aucun pays de l'union europĂ©enne n'interdit cette couverture mais des Ă©volutions ne sont pas Ă exclure dans les prochains mois.
A notre avis seul un texte au niveau européen serait pertinent et cohérent dans un marché commun. D'autant que ce texte édicterait des obligations pour les assureurs afin de fixer un cadre (s'il ne s'agit pas d'une interdiction) aux obligations de lutte contre le blanchiment et le financement du terrorisme.
A nos yeux, une prochaine Ă©tape (qui est dĂ©jĂ sĂ©rieusement Ă©tudiĂ©e) est le traçage des transactions de cryptomonnaies, d'autant que ce type de paiement et leurs actifs sont amenĂ©s Ă croĂźtre dans les prochaines annĂ©es allant de pair avec l'intĂ©rĂȘt des acteurs de l'Ă©conomie et de la finance. Cette dĂ©marche de traçage et de transparence nĂ©cessaire va dans le sens de l'Ă©volution des outils de l'Ă©conomie, elle contribue aussi Ă lutter contre les rançongiciels.
Enfin, nous sommes trÚs réservés sur les chiffres avancés concernant le paiement des rançons et la partie prenante des assureurs. La plupart des entreprises touchées paient des petites rançons (les PME) qui sont souvent la conséquence d'un manque de prévention ou de technicité de leurs prestataires. Elles sont victimes de robots qui les scannent et exploitent des vulnérabilités d'équipements - mal configurés, pas à jour, obsolÚtes - exposés sur l'internet (boitiers VPN, NAS, pare-feu...).
Ces entreprises ne sont pas, pour la grande majoritĂ©, couvertes (moins de 10% ont un contrat cyber). Auraient-elles dues l'ĂȘtre avec une obligation contractuelle de faire des sauvegardes dĂ©connectĂ©es et un rĂ©el accompagnement en prĂ©vention ? C'est un autre dĂ©bat, c'est peut-ĂȘtre le bon.