Retour sur l'AMRAE qui s'est déroulée à Deauville dans de bonnes conditions (2300 congressistes) malgré un dispositif spécial pour cause de crise sanitaire. Nous remercions tous les interlocuteurs avec qui nous avons pu échanger et partager des analyses. Pour avoir participé à plusieurs réunions de souscription cyber en fin d'année dernière nous sentions que la situation était encore plus tendue qu'en 2020. Sans surprise, c'est sur le cyber que se concentrent les difficultés de renouvellement (non reconduction, explosion des primes, des franchises...) 

Nous n'allons pas revenir sur le manque de capacités que chacun connait ici mais sur le fait que trois ou quatre gros sinistres suffisent à les assécher. C'est le niveau des réclamations qui questionne quand on sait que les entités concernées sont des grandes entreprises qui présentaient toutes les garanties et les vertus en termes de gestion de la sécurité informatique. Comment cela peut arriver lorsqu'on sait que ces attaques ne sont pas sophistiquées et qu'elles laissent de nombreuses traces et indices avant d'être déclenchées ?

Ainsi il n'est pas normal que moins d'1% des sinistres indemnisés perturbent autant le marché. Par effet de bord ces gros sinistres bloquent l'accès au marché des ETI (8% sont assurées) et des PME (moins de 1% sont couvertes). 

La disparition de l'assurance cyber ?

Dans les allées de l'AMRAE nous avons eu des échanges intéressants, enrichissants, nous avons partagé nos vues et nos idées sur l'assurance cyber et ses évolutions possibles. Un point revenu souvent, c'est la disparition du marché de l'assurance cyber que plusieurs annoncent. Nous n'y croyons pas.

Les grands comptes ne sont plus un levier de croissance pour la cyberassurance. Les données sur la couverture des ETI et des PME (voir ci-avant) indiquent que la marge de progression est énorme et que des polices adaptées pourraient permettre de rééquilibrer le ratio prime sinistre. Encore faut-il que les services proposés en termes d'assistance soient efficaces et bon marché, ce qui n'est pas le cas aujourd'hui. 

L'autre point reste la prévention et là encore, le bon sens et des règles simples de gouvernance de la sécurité peuvent permettre à des moyennes structures de gagner rapidement en maturité et à moindre coût. 

Nous avons la conviction que les courtiers peuvent jouer un rôle moteur dans la prévention, tout comme les assureurs à travers des contrats adaptés. Le gain de technicité des acteurs de l'assurance cyber est essentiel, et doit être porté au même niveau que celui des autres spécialités du dommage. Les ETI et les PME ont du mal à faire le tri parmi la myriade de solutions de cyber sécurité plus ou moins pertinentes qui abondent. Le plus cher, n'est pas forcément le meilleur. C'est là que nous devons les aider. 

Nous ne pensons pas que l'assurance cyber disparaitra. Objectivement, son développement est faible comparé aux 60 milliards de primes collectées en France (2020) sur l'assurance dommage. 

En revanche, nous croyons à sa spécialisation par segment de marché et à la mise en place de nouveaux mécanismes (fonds, captives...). Chacun doit faire un pas vers l'autre : les assureurs doivent adapter leurs produits, les courtiers conseiller techniquement sur des bases solides, et les entreprises s'engager dans une démarche de prévention graduelle, et de transparence. 

Paiement des rançons ou pas?

Autre sujet sur le lequel nous avons eu le plaisir d'échanger (et débat permanent) est le paiement des rançons. Le rapport (2021) sur la cyber-assurance de la député Faure-Muntian, propose "...d'inscrire dans la loi l'interdiction pour les assureurs de garantir, couvrir ou d'indemniser la rançon..." Rappelons qu'aujourd'hui qu'aucun texte ne sanctionne pénalement le paiement d'une rançon par une victime. 

Le paiement d'une rançon est le dernier recours quand tout a été tenté, il ne s'agit pas d'un choix économique. C'est une décision prise pour éviter une faillite et la mise au chômage des collaborateurs d'une entreprise. 

Cette garantie ne constitue pas aujourd'hui une activité illicite (au sens du Code civil, du Code des assurances, ou encore de la jurisprudence). 

Sur le plan pénal, une infraction est cependant caractérisée par la connaissance en amont du fait que les fonds fournis sont "destinés à être utilisés, en tout ou en partie, en vue de commettre un acte de terrorisme" (article 421-2-2 du CP). Il apparaît que la grande majorité des pays n’interdit pas l’assurabilité du remboursement des rançons en cas de cyberattaque mais la subordonne à certaines conditions (notamment la lutte contre le blanchiment et le terrorisme). Donc, le risque n'est pas négligeable.

Soulignons tout de même qu'à ce jour, aucun pays de l'union européenne n'interdit cette couverture mais des évolutions ne sont pas à exclure dans les prochains mois.

A notre avis seul un texte au niveau européen serait pertinent et cohérent dans un marché commun. D'autant que ce texte édicterait des obligations pour les assureurs afin de fixer un cadre (s'il ne s'agit pas d'une interdiction) aux obligations de lutte contre le blanchiment et le financement du terrorisme. 

A nos yeux, une prochaine étape (qui est déjà sérieusement étudiée) est le traçage des transactions de cryptomonnaies, d'autant que ce type de paiement et leurs actifs sont amenés à croître dans les prochaines années allant de pair avec l'intérêt des acteurs de l'économie et de la finance. Cette démarche de traçage et de transparence nécessaire va dans le sens de l'évolution des outils de l'économie, elle contribue aussi à lutter contre les rançongiciels. 

Enfin, nous sommes très réservés sur les chiffres avancés concernant le paiement des rançons et la partie prenante des assureurs. La plupart des entreprises touchées paient des petites rançons (les PME) qui sont souvent la conséquence d'un manque de prévention ou de technicité de leurs prestataires. Elles sont victimes de robots qui les scannent et exploitent des vulnérabilités d'équipements - mal configurés, pas à jour, obsolètes - exposés sur l'internet (boitiers VPN, NAS, pare-feu...). 

Ces entreprises ne sont pas, pour la grande majorité, couvertes (moins de 10% ont un contrat cyber). Auraient-elles dues l'être avec une obligation contractuelle de faire des sauvegardes déconnectées et un réel accompagnement en prévention ? C'est un autre débat, c'est peut-être le bon.