Il s’agit d’un mail envoyé aux milliers d’agents généraux d’Axa, ces entrepreneurs qui gèrent une agence sous la protection de la multinationale. L’objet du mail, écrit en majuscules par l’assureur Sapa, indique son caractère « urgent » et « important ». Les professionnels qui ne signent pas l’avenant avant le 23 octobre, 15 jours seulement après l’envoi du courrier, verront le contrat résilié. Appel? Inclure une cyber clause de non-responsabilité dans leurs contrats de responsabilité. Sans leur accord, le contrat expirera le 1er janvier 2023. Le risque cyber est trop important et Sapa ne veut plus assurer ses produits traditionnels.
La position de Sapa résume bien ce qui se passe dans le monde tranquille de la cyberassurance : les courtiers d’assurance cherchent également à réduire et à isoler les risques liés à ce type d’offre. Parce que les risques cyber (attaques, rançons…) sont au cœur des craintes de toutes les entreprises – en 2ème position du classement des risques émergents établi par le « Future Risks Report » d’Axa – oser les sécuriser est encore loin d’être rentable. professionnels du secteur. En 2020, le coût des sinistres encourus par les assureurs a largement dépassé le nombre de primes acquises. Le marché de la cyberassurance est certes revenu à l’équilibre, avec un ratio sinistres sur primes descendu à 88 %, mais un tel réajustement a un prix élevé : prix plus élevés, limites de garantie et conditions de plus en plus strictes pour gagner des contrats.
« Les mises à niveau récentes entreront dans l’histoire », déclare l’étude 2022 de l’AMRAE, dirigée par Oliver Wild, directeur des risques et des assurances de Veolia. Jusqu’aux derniers jours de 2021, de nombreuses entreprises craignaient de se retrouver sans solution de cyberassurance faute de celle-ci. d’une proposition décente, la situation laissera des « traces », elle « perdra la confiance » des acteurs et « déséquilibrera le marché ».
Faut-il payer les cyber rançons ?
Le marché est sous pression et les débats houleux sur l’autorisation de payer des cyber rançons qui devraient aider ne sont pas structurés. Doit-on payer les sommes réclamées par les hackers pratiquant les ransomwares ou, au contraire, contre un refus systématique ? La question, posée depuis des mois, devra finalement être officiellement tranchée par le Parlement en octobre. Le Sénat a voté ce mercredi en première lecture l’article de la loi d’orientation et de programmation du ministère de l’Intérieur, qui légalise le versement de rançons cyber, sous réserve du dépôt d’une plainte sous le déclencheur de 48H de la garantie. Un amendement a été rejeté, revenant à 24 heures.
De quoi provoquer un tollé, cette décision politique qui fait suite au feu vert de Bercy va à l’encontre de la doctrine de la communauté cyber française, et en premier lieu de l’agence nationale de la sécurité des systèmes d’information, l’Anssi. « Ce qui m’inquiète, a expliqué son directeur Guillaume Poupard, c’est d’entendre que payer des rançons à certains agents est considéré comme normal, voire encouragé. Nous avons envoyé un message aux agents publics, aux hôpitaux, aux collectivités locales : nous ne paierons pas. » Etienne Drouard, associé chez Hogan Lovells, est également sceptique, car le paiement de la rançon n’entraîne pas toujours la récupération des données : « le taux de récupération était de 94 % il y a cinq ans. Aujourd’hui, il est de 20 %. »