Pour Amrae, qui prône depuis des années la nécessité d’une solide offre de cyberassurance, la publication du rapport du Trésor marque un pas dans la bonne direction.
Dans un communiqué du 12 septembre, l’Amrae (l’association pour la gestion des risques et l’assurance des entreprises) s’est félicitée de la dernière publication d’un rapport du Trésor sur le développement de l’assurance des risques cyber. L’association, qui a participé au groupe de travail qui a permis l’élaboration de ce rapport, a appelé à la mise en place rapide des différents mécanismes proposés, notamment ceux qui facilitent la création de captives de réassurance.
Selon Amrae, ce rapport réalisé par la Direction Générale du Trésor « trace un cheminement juridique, fiscal, technique et organisationnel concret pour l’Etat et les organismes privés et publics de toutes tailles afin de proposer des offres de cyberassurance solides, lisibles et adaptées ». associations, qui pardonnent l’évolution du marché de la cyber-assurance l’an dernier, le rapport marque également une étape importante vers la construction d’un cadre de confiance qui profite à tous les acteurs, y compris les entreprises et le secteur de l’assurance. »
Décrire le marché de la cyberassurance
Amrae poursuit dans son communiqué les principales mesures du rapport, dont il appelle à une mise en œuvre rapide. Pour les assureurs, le rapport apporte des réponses à une problématique clé : la difficulté de quantifier précisément le risque cyber et par conséquent leur exposition, qui conduit les acteurs du secteur à limiter de plus en plus les couvertures proposées, voire à se retirer du marché. Le rapport propose notamment de mesurer le risque cyber de manière détaillée et de créer une base de données de tous les incidents et délits, afin que les assureurs puissent calculer concrètement leur exposition. Elle encourage également l’amélioration du partage des risques entre entreprises, assureurs et réassureurs – notamment en favorisant la création de captives de réassurance dans lesquelles une partie du risque assurable sera « logée ».
Pour les entreprises, le rapport plaide notamment pour des efforts accrus de sensibilisation aux risques cyber, mesure qui fait consensus. Une autre proposition, plus controversée, prévoit de clarifier le cadre juridique face à la délinquance et aux demandes de rançon, notamment en systématisant le dépôt de plainte au profit des assurances. La couverture de tels risques éventuels, si le paiement de la rançon devient le dernier recours, ne dispense cependant pas l’entreprise de mettre en œuvre des mesures de sécurité. Ainsi, le groupe de travail auquel Amrae a participé a également mis l’accent sur la nécessité d’une politique de prévention et de sécurité efficace, adaptée aux besoins de l’entreprise. Il propose la mise en place de diagnostics de routine et un accompagnement des mesures de protection à mettre en œuvre et appelle au renforcement du service technique national et à la décentralisation pour la prévention et la remédiation en cas d’attentat.
En conclusion de son communiqué, Amrae a insisté sur une disposition qu’il appelait plus particulièrement à mettre en œuvre, la création de sociétés captives de réassurance en France. « Dans l’attente de la notification de l’accord des autorités européennes au gouvernement français pour mettre en place dans la prochaine loi de finances tous les mécanismes favorisant la création de captives en France, l’Amrae reste mobilisée pour aider les entreprises à mieux maîtriser leurs risques et concevoir avec tous les systèmes d’acteurs nationaux et européens qui élargissent leurs capacités de résilience des entreprises et du tissu économique. »