Avec un recul de plus de deux ans depuis les attaques Wannacry et NotPetya, il est temps de dresser un panorama du risque cyber en France ; risque craint, mal aimé mais pourtant incontournable, il est important de pouvoir l’intégrer dans notre paysage assurantiel.
Par Emmanuèle Lutfalla, associée, Déborah Azerraf, avocate et Alice Decramer, avocate, Signature Litigation
La Fédération française de l’assurance a publié son baromètre des risques émergents pour l’année 2019. A l’horizon cinq ans, le risque cyber demeure en tête des risques principaux.
Notre société est dominée par une digitalisation croissante et une forte dépendance aux systèmes informatiques. La majorité des entreprises a un recours massif au cloud et chacun dans les années à venir disposera d’au moins trois objets connectés sur lui. Cela va s’accompagner d’une augmentation croissante de l’exposition corrélative au risque cyber, que l’incident soit le fait d’un salarié malintentionné et/ou négligent ou d’une attaque par un tiers.
Les exemples d’incident cyber les plus fameux que nous connaissons sont ceux des attaques Wannacry et NotPetya en mai et juin 2017 dont les conséquences, estimées à plusieurs milliards de dollars, restent encore à évaluer, qu’il s’agisse par exemple de la fermeture d’usines ou de services de chirurgie d’hôpitaux en France et ailleurs.
De façon peu surprenante, le marché de l’assurance a connu depuis lors une augmentation du taux de souscription des contrats d’assurance cyber, passant ainsi de 26 % en 2016 à plus de 50 % en 2019.
En France, pourtant, à l’inverse des US où le marché est déjà mature, le risque cyber reste toutefois encore perçu comme étant à la limite de l’assurabilité.
Il est perçu comme étant difficile à cerner parce que trop récent, par définition sans antériorité. Les assureurs doivent aussi faire face à la réticence des entreprises à diffuser leurs incidents à des tiers, y compris leurs assureurs, ce qui rend quasi-impossible d’évaluer correctement la prime corrélative.
Ce d’autant que les méthodes d’analyse revêtent malgré tout un caractère empirique, sans véritable standardisation de l’incident caractéristique et discriminant et qu’il n’existe pas aujourd’hui d’organisme collecteur capable d’intégrer une base de données fiable et accessible.
On ne peut que s’interroger sur les pertes potentielles liées aux conséquences d’un incident cyber qui n’auraient pas été...
