Cyber assurance : des couvertures plus restreintes

Les entreprises européennes sont de plus en plus touchées par les cyber-attaques. Un phénomène qui devrait prendre encore de l'ampleur en 2023.

Selon un rapport prédictif de Mandiant, une entreprise spécialisée dans les services de cyberdéfense, de renseignement sur les menaces et de réponse aux incidents, le Vieux Continent pourrait être la région la plus ciblée par les ransomwares cette année. Dans ce contexte, assurer son entreprise contre les risques cyber semble primordial.

Problème : il est de plus en plus difficile d'obtenir une couverture. "La cyber-assurance évolue très rapidement. Fin décembre 2022, le code des assurances a d'ailleurs été modifié sur cette partie cyber", constate David Grout, directeur technique EMEA pour Mandiant. En effet, un arrêté du 13 décembre 2022, publié au Journal officiel le 20 décembre, a créé deux nouvelles catégories d'opérations dédiées au risque cyber. "Celles-ci sont insérées dans l'article A. 344-2 du code des assurances, après le vingt-huitième alinéa", précise David Grout. Ces deux nouveaux alinéas (numérotés 32 et 33) concernent les dommages aux biens (alinéa 32) et les pertes pécuniaires (alinéa 33) consécutifs aux atteintes aux systèmes d'information et de communication.

Jusqu'alors, les garanties cyber se retrouvaient classées dans les dommages aux biens, responsabilité civile ou pertes pécuniaires. "A travers ces deux nouveaux alinéas, les assurances ont désormais la possibilité de discriminer la manière de couvrir les risques cyber", explique le directeur technique de Mandiant. Résultat : en cas d'attaque cyber, une assurance peut maintenant proposer des couvertures différentes sur les dommages aux biens et les pertes pécuniaires.

Bien comprendre les différentes couvertures

Cette distinction des différents types de garantie risque de donner du fil à retordre aux entreprises et notamment aux directeurs financiers. "Pour les entreprises, il est désormais essentiel d'évaluer le niveau de garantie qu'elles souhaitent obtenir. Cela demande d'avoir la capacité de comprendre en détail les différents types de couverture afin de prendre la bonne décision en termes de police d'assurance", relate David Grout. Selon lui, il est également possible qu'un certain nombre d'assureurs cesse de couvrir le risque cyber en raison du coût que cela représente. "Ceux qui resteront sur le marché de la cyber-assurance seront très structurés et demanderont un certain nombre de garanties à leurs assurés. Cela demandera une montée en maturité du côté des entreprises", prévient-il.

Processus de sécurité, gestion des mots de passe et des accès distants... Les entreprises devront montrer pattes blanches dans un certain nombre de domaines. "Toutefois, ces mesures ne garantissent pas une protection infaillible contre les cyber-attaques car il s'agit d'un domaine très évolutif. Les assureurs réfléchissent pour mettre au point des systèmes qui permettraient de mieux évaluer et mesurer de façon plus régulière le risque cyber de leurs assurés", explique David Grout.