Dans un communiqué daté du 12 septembre, l'Amrae (association pour le management des risques et des assurances de l'entreprise) a salué la publication récente du rapport du Trésor sur le développement de l'assurance du risque cyber. L'association, qui a participé au groupe de travail ayant permis la production de ce rapport, appelle à une mise en oeuvre rapide des différents dispositifs proposés, notamment ceux facilitant la création de captives de réassurance.
Selon l'Amrae, ce rapport réalisé par la direction générale du Trésor « énonce des pistes juridiques, fiscales, techniques et organisationnelles concrètes pour l'État et les organisations privées et publiques de toutes tailles afin de créer une offre d'assurance cyber solide, lisible et adaptée. » Pour l'association, qui déplorait l'année passée l'évolution du marché de la cyber-assurance, le rapport marque également une étape importante pour la construction de cadres de confiance bénéficiant à l'ensemble des acteurs, « dont les entreprises et l'industrie de l'assurance. »
Clarifier le marché de la cyber-assurance
L'Amrae reprend dans son communiqué les principales mesures du rapport, pour lesquelles elle appelle à une concrétisation rapide. Du côté des assureurs, le rapport apporte des réponses à un enjeu clef : la difficulté à quantifier précisément le risque cyber et par conséquent leur exposition à celui-ci, qui conduisait les acteurs du secteur à restreindre de plus en plus les couvertures proposées, voire à se retirer du marché. Le rapport propose notamment de mesurer le risque cyber de manière exhaustive avec la création d'une base de données de tous les incidents et délits, afin que les assureurs puissent quantifier leur exposition sur des bases concrètes. Il incite aussi à améliorer le partage de risque entre entreprises, assureurs et réassureurs - notamment en favorisant la création de captives de réassurance dans lesquelles serait « logée » une partie du risque assurable.
Pour les entreprises, le rapport plaide notamment pour accroître les efforts de sensibilisation de celles-ci au risque cyber, une mesure qui fait consensus. Une autre proposition, plus controversée, prévoit de clarifier le cadre juridique face aux délits et demandes de rançons, notamment en systématisant le dépôt de plainte pour bénéficier de l'assurance. La couverture éventuelle d'un tel risque, dans le cas où le paiement de la rançon serait le dernier recours, ne dispense cependant pas les entreprises de mettre en place des mesures de sécurité. Ainsi, le groupe de travail auquel a participé l'Amrae souligne également la nécessité d'une politique efficace de prévention et de sécurité, adaptée aux besoins des entreprises. Il propose la mise en place de diagnostics réguliers et d'accompagnement des mesures de protection à prendre et appelle à un renforcement de services nationaux et décentralisés de services techniques de prévention et de remédiation en cas d'attaque.
En conclusion de son communiqué, l'Amrae insiste sur une disposition dont elle appelle plus particulièrement la mise en oeuvre, la création de captives de réassurance en France. « Dans l'attente de la notification de l'accord des autorités européennes au gouvernement français pour mettre en place dans la prochaine Loi de finances l'ensemble des dispositifs favorisant la création de ces captives en France, l'Amrae reste mobilisée pour aider les entreprises à mieux maîtriser leurs risques et concevoir avec l'ensemble des acteurs nationaux et européens des dispositifs élargissant les capacités de résilience des entreprises et du tissu économique. »