Les objectifs de la démarche de gestion des risques sont de :
· transférer le risque ;
· atténuer le risque ;
· lever le risque ;
· accepter le risque sous sa forme résiduelle (part qui n’a pu être traitée après les contrôles et plans d’actions).
Détails de la démarche de gestion des risques de type ERM dans l’ouvrage d’Aubry et Dufour : « Risk Management.Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; 👉 https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html
Comment gérer le cyber-risque ?
· l’assurance pour le transférer
· les plans d’actions recommandés par l’ANSII pour le prévenir / atténuer sa probabilité d’occurrence et/ou son impact sur l’organisation
Le post de la quinzaine est consacré à l’assurance pour le transférer avec trois ressources :
- une veille sur l’actualité / assurance des cyber-rançons : épisode trois par Paul Berger de Gallardo, Avocat.
- une vidéo à écouter sur B Smart / marché de l’assurance : quid du gap entre la couverture assurances et le coût de l’attaque ? Connaître la capacité de l’assurance cyber à indemniser les sinistres est essentielle ;
- une analyse et un article sur la création par de grandes entreprises de leur propre société d’assurances.
Plans d’actions préconisés par l’ANSII
Garanties d’assurance cyber : un amendement majeur adopté enCommission des lois à l’Assemblée
🟢 Septembre 2022 :dépôt d’un projet de loi par le Gouvernement proposant d'encadrer le remboursement des cyber-rançons par les assurances, en rendant obligatoire le dépôt d’une « plainte » par la victime « au plus tard 48 h après le paiement de cette rançon ».
🟠 Octobre 2022 :adoption de l’article 4 au Sénat avec un amendement transformant la condition d’assurance en une « pré-plainte » devant être déposée « dans les 24h suivant l’attaque et avant tout paiement ».
🟠 Novembre 2022 : la Commission des lois de l’Assemblée nationale vote un amendement majeur de Anne Le Hénanff qui :
➡ élargit l’obligation de déposer plainte à toute «clause assurantielle visant à l’indemniser de tout dommage » causé par une cyber-attaque
➡ supprime toute référence à la garantie des rançons !
➡ revient au format d’une« plainte » de la victime dans les « 48h » mais désormais à compter de la «constatation de l’infraction »
🔵 Le projet de loi duGouvernement, l’étude d’impact et l’avis du Conseil d’Etat ne portaient que sur la cyber-rançon et non sur les autres garanties d’assurance, mais :
🔹 le député et rapporteur sur le projet de loi Florent Boudié a organisé une table ronde sur la question des rançongiciels, avec des points de vue complémentaires et divergents(magistrat, gendarmerie, police, DG Trésor, France Assureurs, parlementaires …et même un avocat !)
🔹 le Ministre de l’intérieur a l’origine du projet de loi s’est dit expressément favorable à cet amendement en ouverture des travaux de la Commission des lois
⁉️ Quelques suppositions et interrogations sur cette nouvelle rédaction :
🔜 Lecture en séance à l’Assemblée et nouveaux amendements à venir !
Dans une économie si numérique, où le risque cyber est un enjeu de souveraineté nationale, l’assurance cyber avec son triptyque de services (remédiation, conseil juridique et communication) et sa capacité à indemniser les sinistres est essentielle.
Parce que le marché est complexe, en connaître la réalité quantitative est indispensable.
Philippe Cotelle, administrateur de l'AMRAE et président de sa commission cyber a ainsi présenté l’édition 2022 de Lucy Lumière sur la cyber-assurance à Delphine Sabattier de B SMART.
A son côté Martin Landais, sous-directeur assurances de Direction générale du Trésor (French Treasury) venu également expliquer l’intérêt pour la France des captives pour l’assurance cyber et pré annoncer le rapport des pouvoirs publics pour faire de l’assurance du risque cyber un levier au service de la résilience de nos entreprises.
Ecoutez la vidéo https://www.bsmart.fr/video/7396-smart-tech-partie-01-juillet-2021
L’assurance cyber : en passe de devenir has been ?
Afin de pallier les défaillances d’un marché en crise, Michelin, Veolia, Airbus, Solvay et d’autres entreprises européennes se sont associés pour créer une mutuelle par capitalisation. Leur objectif ? Être plus résilient face aux crises cyber.
Miris Insurance, c’est leur nom, précise que l’objectif est non seulement «d’apporter des solutions là où les assureurs sont absents » mais aussi de «partager les meilleures pratiques en matière de gestion de risques » cybers.
Mais quid des PME ? Si les moyens des grandes entreprises leur permettent de s’extirper d’un marché défaillant, les PME, quant à elles, restent sur le carreau. Sûrement les plus vulnérables, les PME devront se contenter de l’assurance cyber classique toujours plus onéreuse. En effet, la frilosité des assureurs face au risque cyber est palpable.
Alors non, l'assurance cyber n'est pas en passe de devenir has been. En tout cas, pas pour tout le monde. Certains n'auront tout simplement pas le choix.Reste à découvrir si le retrait du marché d’un nombre suffisant de grandes entreprises permettra aux assureurs de développer une offre sur-mesure pour lesPME.
Emmanuelle Hervé
Risque cyber : Airbus, Michelin et BASF créent leur propre société d'assurance
Avec Veolia, Adeo, Sonepar et Solvay, les industriels ont créé une mutuelle en Belgique pour se couvrir contre les risques numériques. Tous ont déjà de l'expérience dans l'auto-assurance, qui peine à décoller en France. La réforme des captives d'assurance pourrait ressurgir lors du débat sur le projet de loi de finances.
Les demandes d'assistance pour des attaques informatiques par rançongiciel ont bondi de plus de 85 % en 2021en France.
Face aux failles du marché de l'assurance cyber, de grands groupes européens ont mis sur pied une mutuelle dédiée à la couverture des attaques et autres risques numériques. Le géant de l'aéronautique européen Airbus, le spécialiste de l'environnement Veolia, l'équipementier automobile Michelin, Adeo (la maison mère de Leroy Merlin) et Sonepar (le distributeur de matériel électrique), se sont alliés à l'allemand BASF et au belge Solvay au sein d'une structure baptisée Miris Insurance.
« Aujourd'hui, le marché de l'assurance cyber est volatil et court-termiste, les assureurs ne souhaitant pas s'engager sur leurs capacités futures. C'est un problème car le risque cyber devient structurel et de long terme, les entreprises étant toutes engagées dans la digitalisation de leurs activités », explique Philippe Cotelle, directeur de l'assurance cyber et du management des risques assurantiels chez Airbus.
Ne serait-ce que l'année dernière, le site du gouvernement dédié aux attaques cyber (cybermalveillance.gouv.fr) a reçu 1.851 demandes d'assistance pour des attaques informatiques par rançongiciel, contre 996 en 2020 soit une hausse de plus de 85 %. Et depuis la guerre en Ukraine, les autorités de plusieurs pays alertent sur un risque accru d'attaques cyber. De quoi renforcer l'urgence de s'assurer pour les industriels.
Compléter le marché
Miris n'a pas vocation à se substituer aux assureurs, mais à sécuriser la couverture de ses membres en compensant le manque de capacités sur le marché… ou les prix élevés . Le décalage entre la demande et l'offre s'explique notamment par le manque d'historique et de données sur les risques cyber, qui rend les assureurs frileux. Face à la hausse des prix, une dizaine de grandes entreprises avaient même renoncé à prendre une assurance cyber l'an dernier, selon une enquête de l'Association des managers de risques (Amrae).
Conscient des carences du marché,Bercy a publié au début du mois un rapport visant à améliorer l'écosystème tricolore de l'assurance cyber. Parmi les pistes évoquées : le développement de solutions d'auto-assurance, notamment à travers la création de sociétés captives ou encore des mécanismes de mutualisation du risque et de solidarité financière entre industriels de différents secteurs.
« Nous ne voulons pas remplacer les assureurs, mais collaborer en complétant leur offre disponible dans une démarche de co-assurance », confirme le représentant d'Airbus au sein de Miris. Et pour minimiser les dommages causés par une cyber-attaque systémique,« nos membres exercent dans des domaines d'activité et géographies diversifiés », ajoute-t-il.
Chacun s'est engagé à apporter5 millions d'euros de capital, qui pourront générer 25 millions d'euros de couverture individuelle. Les groupes fondateurs ont déjà de l'expérience dans l'auto-assurance, tous ayant leur propre captive interne, agréée en France ou dans un autre pays.
Hospitalité belge
Pour Miris, le choix s'est porté sur la Belgique, avec l'espoir d'obtenir un agrément du régulateur d'ici à début 2023. « C'est le seul pays d'Europe à avoir déjà agréé des mutuelles d'assurance par capitalisation dédiées à un risque spécifique, en l'occurrence les mutuelles nucléaires internationales Emani et Elini [dont EDF, Framatome et Orano sont membres, NDLR], indique Philippe Cotelle. La réglementation locale permet aussi d'adapter la taille de Miris à nos besoins, à savoir la gestion d'un nombre limité de contrats pour commencer. »
La Belgique offre aussi « un terrain neutre entre les membres français et allemands », estime un observateur. Et un environnement plus accueillant que la France, où de tels« pools » ou captives peinent à se développer . Seule une dizaine sont domiciliées dans l'Hexagone contre, par exemple, des centaines au Luxembourg, qui offre un environnement fiscal et technique plus clément. Un déficit que la France promet de corriger depuis plusieurs années.
Après une première volte-face l'an dernier, le gouvernement n'a pas inscrit la réforme fiscale du statut des captives dans le projet de loi de finances (PLF) 2023. Mais il a obtenu le feu vert de la Commission européenne sur la question du respect des règles de concurrence, affirme une source proche des autorités. De quoi permettre au projet de revenir dans le débat parlementaire, via un amendement au PLF.
Dans le sillage de l'Eiopa, le superviseur européen de l'assurance, l'Autorité de contrôle prudentiel et de résolution appelle les assureurs à « examiner l'ensemble des garanties » implicites des risques cyber que peuvent contenir leurs contrats. Ils doivent « clarifier » et « rendre plus explicites les formulations des termes et conditions » de ces couvertures dites silencieuses. Le « manque apparent de préparation de certains organismes pourrait entraîner des pertes importantes et compromettre la stabilité financière globale du secteur », estime le régulateur.
Par Amélie Laurin. 30 sept. 2022.
Mis en ligne par Virginie GASTINE MENOU
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.