L’assurance cyber encourage-t-elle les délits en indemnisant le cas échéant une cyber extorsion comme l'y autorise la loi, ou s'agit-il du bon outil de gestion et de transfert du risque informatique ? Décryptage.
Dans un rapport parlementaire d'octobre 2021, l’ex-députée Valéria Faure-Muntian recommandait l’interdiction de garantir le paiement des rançons dans les polices cyber et préconisait davantage de prévention et d’accompagnement en cas de cyberattaque. Un an plus tard, le rapport de la DGT « Le développement de l’assurance du risque cyber » recommandait de conditionner le remboursement d’une rançon par l’assureur à un dépôt de plainte dans les quarante-huit heures suivant l’événement. Finalement, à travers la loi Lopmi, le législateur a opté pour l’obligation d'un dépot de plainte dans les soixante-douze heures suivant la connaissance de la cyber-attaque par la victime.
Les TPE, PME et ETI en première ligne
Selon une enquête sur les PME et la cybersécurité publiée en octobre dernier par Stoïk, agence de souscription spécialisée sur le risque cyber en Europe, 62 % des PME attendraient de la part de leur assureur qu’il paie la rançon à la place de l’entreprise en cas de cyberattaque par rançongiciel. Dans son rapport 2022 sur les cybermenaces, l’Anssi (Agence nationale de sécurité des systèmes d’information) indique que les TPE, les PME et les ETI (40 %) sont les principales victimes des attaques par rançongiciel, suivie par les collectivités locales (23 %), les établissements publics de santé (10 %), et ceux d’enseignement supérieur (8 %)... Au sein du portefeuille du courtier Cyber Cover, 40 % des contrats cyber souscrits sont assortis d’une garantie contre les rançongiciels. En France, les premières polices cyber...
