Entreprise victime de cyberattaque : vers une indemnisation par les assureurs ?
La problématique de la cyberattaque en entreprise n’est pas récente. Pour protéger les PME et TPE victimes, Bercy propose de nouvelles mesures phares.
En cas de cyberattaque en entreprise, le ministère de l’Économie souhaite que les sociétés ciblées puissent bénéficier d’un remboursement, par les assureurs, du montant extorqué par les cybercriminels afin de récupérer les données volées. Issue d’un rapport publié par Bercy, cette proposition, validée par les assurances, est désormais inscrite dans le projet de loi Orientation et programmation, et se décline en 4 axes.
Bercy favorable au développement de l’assurance en cas de cyberattaque en entreprise
Le 7 septembre, Bercy publiait un rapport sur « Le développement de l’assurance du risque cyber ».
Reposant sur les travaux d’un groupe de travail dédié à la question, les principales dispositions sont incluses au projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPSI).
Ces propositions visent à instaurer un équilibre entre « la volonté de ne pas financer l’écosystème des cyberattaquants et la volonté d’éviter la mort de PME et TPE touchées par une attaque. »
La mesure phare du projet ? Modifier le code des assureurs en y ajoutant la possibilité d’indemniser, suite à un dépôt de plainte, les sociétés ayant payé une cyber rançon.
Depuis fin septembre, une task force qui se dédie spécifiquement à l’assurance du cyber risque, travaille à mettre en place rapidement les différentes propositions du rapport.
Cyberattaque en entreprise : les propositions du rapport
Le rapport propose un ensemble d’actions concrètes, se déployant en 4 axes :
- Clarification du cadre juridique de l’assurance du cyber risque. Par exemple, diffuser les bonnes pratiques dans la rédaction des contrats, clarifier les clauses des contrats, etc.
- Amélioration du partage de risque entre assureurs, assurés et réassureurs. Par exemple, à travers le développement de solutions d’auto-assurance.
- Assurer une meilleure mesure des risques en obtenant plus de données sur ledit risque dans le but de mieux prévoir. Par exemple, en créant un observatoire de la menace cyber.
- Renforcement de la sensibilisation des entreprises aux risques de cyberattaque. Par exemple, en développant la coopération entre les acteurs privés et publics.
Les assurances en accord avec la proposition
Pour certains experts dans le domaine de la cybersécurité, ce texte qui veut lutter contre toute cyberattaque en entreprise engendrerait une forme de légalisation du paiement des cyber rançons. Et ce, au détriment des dispositifs mis en place pour la prévention de telles attaques.
Pour autant, la fédération des assureurs est, quant à elle, satisfaite de la mesure. En effet, cela fait déjà plusieurs mois qu’elle milite en ce sens. Jusqu’à présent, le remboursement des rançons n’était pas interdit. Mais un grand nombre d’assureurs y renonçaient, par peur de se voir désigner comme les défenseurs du paiement des rançongiciels.