L’assurance des risques de cyber-attaque :

Un cadre de déclaration des sinistres.
Un premier pas vers une quantification de nouveaux risques ?

Combien coûte une fuite de données confidentielles touchant des centaines de milliers d’utilisateurs de services en ligne ? Quelle est la valeur d’une base client contenant plus de de 760 000 mails ? A combien évaluer la perte de la base de données d’un hôpital ? Les fiches de soin ? Et les fiches de conception d’un atelier ? Les spécifications détaillées d’un système bancaire ? Les données confidentielles sur le parcours professionnels d’un million de demandeurs d’emploi ?

Pour le moment, si la couverture de ce type de risque commence à occuper une place plus visible parmi les offres innovantes des assureurs de la place, mais aussi de certaines assurtech émergentes, son pricing – les principes de sa tarification, de la quantification des actifs assurables – est une page blanche, dont les experts commencent seulement à inaugurer l’approche.

Cependant, la loi n° 2023-22 du 24 janvier 2023, en introduisant un nouveau chapitre dans le titre II du Code des Assurances, le chapitre X, qui comporte un (seul) nouvel article, l’article L.12-10-1 “L’assurance des risques de cyber attaque”, va éviter que ces coûts ne deviennent astronomiques en posant une esquisse de cadre.

La loi est en vigueur depuis le 24 avril 2023. En dehors de ce premier article, le nouveau chapitre X du Code est encore à construire. Et ce premier article apporte essentiellement une restriction : il indique que désormais, le « dépôt d’une plainte de la victime auprès des autorités compétentes » pour une cyber attaque devra intervenir « au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime ».

Nouvel espace, nouvelles menaces

Une entreprise sur cinq déclare avoir subi au moins une attaque par rançongiciel.

Selon les chiffres du ministère de l’Intérieur portés à l’argumentaire de la nouvelle loi, les délits recensés ces dernières années relevant de la « cyber délinquance » augmentent de +10% et ceux relevant de la « cyber criminalité » de +20%.

Récemment, cet été (le 14 aout 2023), Discord.io, qui sous-traite la gestion des plateformes et les entrées/sorties des serveurs pour le réseau social DISCORD – ce dernier offrant, y compris en France, la possibilité de chat instantanés à ses quelques 760 000 membres – public averti – a vu les données confidentielles de tous les abonnés concernés « aspirés » par des pirates et mis à disposition sur un forum non autorisé. Le site a dû fermer, adhésions sont suspendues, et l’entreprise a promis de « rembourser » chacun des abonnés. La faille ne venait pas d’un système de protection insuffisant – DISCORD utilisait les outils aux standards de marchés – mais d’une démarche d’intrusion par piratage, les « criminels » ayant été introduits comme des clients classique dans le réseau.

Plus près de nous, en France, ce type de « crime » a touché des hôpitaux (Versailles, qui a mis en ligne un message aux usagers/patients : https://www.ch-versailles.fr/0/1/34/49, mais aussi les hôpitaux de Rennes, Créteil, des administrations (Pôle emploi, avec une fuite de millions de fiches en cours d’investigation), des entreprises (de à des multinationales comme Thalès) et la fréquence et l’ampleur de ces attaques ne cesse de croitre.

A suivre : la semaine prochaine, nous détaillerons le contenu du nouvel article L.12-10-1 “L’assurance des risques de cyber attaque”.

La deuxième partie est à lire en suivant ce lien.

Par Louise Adnot

POUR ALLER PLUS LOIN :
ID Reflex’ Cybersécurité 2e édition