Le monde de la cyber-assurance en France bouge beaucoup et continue de questionner les entreprises et les RSSI. Pour les premières, elles sont confrontées à une pénurie d’offres, car beaucoup d’assureurs ont décidé de ne plus proposer de couverture de risques cyber. D’où l’initiative de plusieurs grandes entreprises, Airbus, Michelin, Veolia, Adeo, Sonepar mais aussi l’allemand BASF et le belge Solvay, de créer leur propre assurance. Nommée Miris Assurance, elle est basée en Belgique avec la volonté d’obtenir un agrément du régulateur d’ici 2023.

Les participants au sein du projet Miris se défendent de concurrencer les assureurs, mais plaident la carence des offres ou les prix trop élevés. L’année dernière aux Assises de la Sécurité, plusieurs clients s’étaient plaints de l’augmentation sensible des polices d’assurance. Un des participants nous avait fait part « d’une multiplication seulement par deux des contrats », alors que la société venait de terminer un audit pour être certifié ISO 27 001. On peut également citer la décision du Llyod’s britannique d’exclure les attaques menées par les Etats du champs de la couverture assurantielle. Un choix qui aura des conséquences juridiques sur la capacité d’attribution des cyberattaques. Pour revenir sur Miris Assurance, chaque participant apporte 5 millions d’euros de capital et pourront générer jusqu’à 25 millions d’euros de couverture individuelle.

Le Cesin se positionne contre le paiement des rançons

Toujours dans le domaine de la cyber-assurance, la décision gouvernementale d’indemniser les victimes de rançon par les assureurs en cas de dépôt de plainte ne passe pas. On se souvient de l’image suggestive de Guillaume Poupard, directeur général de l’Anssi avec un chat qui se tape la tête contre une poutre. C’est au tour du Cesin d’afficher son opposition à ce projet qui doit être inscrit dans la loi d’orientation du ministère de l’Intérieur.

L’association des RSSI a sondé ses adhérents sur le sujet et le constat est sans appel. 82% des interrogés sont opposés à cette décision. Le club remonte plusieurs interrogations sur ce choix comme le risque d’encourager le cybercrime, les pressions que pourraient exercer les assureurs auprès de leurs clients pour payer la rançon si celle-ci s’avère moins élevée que les coûts de remédiation. Il y a aussi les risques accrus de récidives pour l’entreprise quand celle-ci a été estampillée « bon payeur » par la communauté des cybercriminels, la propagation d’intermédiaires indélicats pour négocier avec les criminels, etc. On le voit donc ce secteur de la cyber-assurance n’a pas fini de faire parler de lui…