Kadmy - Fotolia
Cyberassurance : un rapport parlementaire qui égrène les défis
Très attendu, le rapport de la députée Valéria Faure-Muntian sur la cyberassurance, à défaut de débloquer la situation, pourrait jeter les bases d’une réflexion et d’un débat plus large.
Le marché de cyberassurance est en crise, avec des demandes d’indemnisation qui explosent aussi vite que le nombre des attaques avec rançongiciel, sur fond de capacités qui montrent leurs limites et poussent à l’envolée des primes.
C’est dans ce contexte que la députée Valéria Faure-Muntian vient de rendre public le rapport du groupe d’études Assurances de l’Assemblée Nationale, un rapport assurément attendu. Ce dernier « entend […] proposer des voies d’amélioration jugées nécessaires dans un contexte toujours plus risqué pour les entreprises, qui peinent à se couvrir ».
L’ensemble se décline sous la forme de 20 propositions articulées autour de trois axes. Le premier axe touche à la définition des « termes propres au champ du risque cyber, avant de délimiter une législation efficace susceptible de le réguler ». Le second vise la résilience et la sensibilisation des entreprises et des collectivités françaises à la menace. Le dernier axe concerne le marché de la cyberassurance en lui-même, avec, selon la députée, « des voies d’amélioration de l’offre pour une couverture suffisamment importante afin de sécuriser notre économie ».
Interdire le paiement des rançons
Quatre propositions sont associées au premier axe. La première vise à harmoniser les définitions des risques cyber. Exemples à l’appui, la députée Valéria Faure-Muntian souligne les écarts existants d’un assureur à l’autre. Les experts du domaine que nous avons consultés – mais qui, faute de pouvoir s’exprimer au nom de leur employeur, resteront anonymes – accueillent favorablement la proposition. Avec un bémol toutefois : pour eux, la tâche est tellement complexe qu’elle mérite d’être confiée à un comité d’experts.
Vient ensuite un appel à clarifier la législation en matière de paiement des rançons. Pour la députée, « il convient d’inscrire dans la loi l’interdiction pour les assureurs de garantir, couvrir ou d’indemniser la rançon ». Là encore, une ligne semble se dessiner chez les intéressés : pour eux, l’État doit se positionner clairement et explicitement sur le sujet. Mais il ne doit pas le faire de manière isolée : une harmonisation est nécessaire au niveau européen, voire mondial.
Mais Valéria Faure-Muntian va plus loin. Pour elle, « il convient de sanctionner les entreprises, administrations ou collectivités qui procèdent au paiement des rançons à l’aide d’un tiers ou de manière directe ».
La troisième proposition vise sans ambages le RGPD : elle recommande « l’autorisation de couverture et de prise en charge des amendes administratives par l’assureur », à ce jour inassurables en cela qu’elles visent à « sanctionner un comportement fautif ayant troublé un ordre public », explique la députée. Enfin, selon la députée, « il convient d’inscrire dans le code des assurances la subordination de l’activation des garanties de cyberassurance à un dépôt de plainte auprès des services compétents ».
Le retour du hack back ?
Pour l’axe résilience et sensibilisation, trois propositions se concentrent sur cybermalveillance.gouv.fr, avec en particulier son renforcement et sa promotion. Mais à cela s’ajoute la création d’un recueil anonyme des cyberattaques. Et l’on apprend au passage que le GIP Acyma finalise la mise en place d’un observatoire national de la menace. Là, quelques réticences ou limitations pourraient émerger : les assureurs peuvent développer leur propre remédiation, souligne un expert.
Les propositions suivantes, pour la justice, la police et la gendarmerie, feront probablement l’unanimité. Même si la qualité de la formation – au-delà de sa durée – laisse certains dubitatifs.
La proposition 13 suggère la création d’une « agence nationale dédiée à des opérations cyber-offensives dans le secteur économique et industriel ». Pour certains experts, cela revient, en creux, à promouvoir l’approche – tout sauf consensuelle – dite de hack back, chère à certains républicains outre-Atlantique.
Une question de culture, et pas simplement technique
Plusieurs propositions touchent à la sensibilisation des collaborateurs et plus généralement à l’anticipation, la préparation. Certaines pourront surprendre sinon heurter comme la création « pour les collectivités, les administrations et les entreprises d’un prérequis en matière de cybersécurité » ou rendre obligatoire la souscription d’une assurance cyber pour les entreprises travaillant pour l’État ou des OIV/OSE. Voire « orienter directement les aides publiques aux collectivités et aux entreprises pour effectuer un audit de cybersécurité ». Là, pour un expert du domaine, c’est le manque de précision des recommandations qui pose problème. Mais pas le fond.
La question des compétences dans les réseaux de distribution des assureurs – que nous avions relevée l’an dernier – est soulevée par le rapport de la députée. Mais au-delà, le rapport de Valéria Faure-Muntian se penche sur l’évaluation des offres de cyberassurance, sur l’analyse des risques pris par les assureurs, ou encore le risque systémique. Pour un expert, les propositions se heurtent là, pour le moment, à l’absence de définition précise du risque cyber. Et cela vaut pour les dernières propositions du rapport.
Les questions de la définition du risque cyber, de la culture, de la formation et de la prévention pourraient bien faire consensus. Mais les experts du domaine soulignent la complexité d’un sujet dont le traitement nécessite des compétences variées, trop pour qu’un acteur seul puisse en faire une synthèse.
Ce rapport parlementaire pourrait en définitive avoir le mérite d’avoir posé la première pierre d’un édifice appelé à être plus large, peut-être avec une demande du secteur de l’assurance pour la création d’un conseil élargi.