L’assurance comme outil de prévention contre les cyberattaques

Le 29 avril dernier, le Club des juristes a publié un rapport intitulé « Le droit pénal à l’épreuve des cyberattaques », comportant 10 préconisations pour faire face à une forme de criminalité en pleine expansion. Si le document est principalement axé sur le renforcement de la réponse pénale, la préconisation 9, à l’attention des entreprises, évoque les investissements assurantiels nécessaires à la prévention contre les cyberattaques. Elle se situe dans la ligne du rapport « Assurer le risque Cyber », publié en janvier 2018 par le même Club des juristes.

Un focus rédigé par Christophe Delcamp, directeur adjoint des assurances de biens et responsabilité à la Fédération française de l’assurance, fait le point dans le rapport d’avril 2021 (pages 79 et 80) sur les évolutions en matière d’assurance du risque cyber depuis 2018. Il relève que « le contexte de l’assurance cyber a évolué de manière positive », saluant diverses initiatives : communiqué de presse de l’Autorité de contrôle prudentiel et de résolution (ACPR) le 12 novembre 2019 attirant l’attention des assureurs sur l’insuffisance de la mesure de leur exposition à ce risque, notamment au travers des garanties implicites contenues dans les contrats de RC et de dommages aux biens ; adoption le 7 juin 2019 par le Conseil de l’Union européenne du règlement européen « Cybersecurity Act » ; annonce par Cybermalveillance.gouv.fr le 18 février 2021 du label ExpertCyber ; présentation le même jour par le président de la République Emmanuel Macron d’un plan de 1 milliard d’euros d’ici à 2025 visant à renforcer la cybersécurité du pays.

Ces mesures paraissent cependant insuffisantes pour assurer le bon transfert des risques aux assureurs. D’autant que la conjonction de la crise provoquée par la Covid-19 (qui a provoqué un développement massif du télétravail accroissant la vulnérabilité des entreprises), de la multiplication des attaques d’ampleur et de graves sinistres affectant les sites de stockage de données font craindre « qu’une pandémie » puisse affecter les systèmes d’information. Christophe Delcamp pointe « le manque de culture du risque cyber des TPE/PME/collectivités locales, mais également de professionnels de l’assurance » qui « ne permet pas une prise de conscience salutaire pour développer la prévention contre ces risques et leur transfert auprès des assureurs ». Il prévoit une année 2021 marquée « par la course entre le temps court des renouvellements annuels des contrats d’assurance et de réassurance et le temps long de la mise en place des fondations au bon traitement de ces nouveaux risques ».

Sources :

• Club des juristes, rapp. « Le droit pénal à l’épreuve des cyberattaques », avr. 2021
• Club des juristes, dossier de présentation, « Le droit pénal à l’épreuve des cyberattaques », avr. 2021