L’assurance du risque cyber : quelques recommandations de la Direction générale du Trésor

En dépit de l’anticipation des risques cyber par les acteurs privés ou publics, voire de l’obligation qu’ils ont de le faire (pour un panorama de la législation, v. le très récent Code de la cybersécurité, Dalloz, 2022), la survenance d’une atteinte à un système d’information peut avoir des conséquences, individuelles ou collectives, sociales, économiques ou juridiques, dévastatrices. Dans le même temps, l’assurance du risque cyber se développe difficilement, posant bien des questions comme l’assurabilité d’une rançon ou d’une amende administrative.

L’assurance du risque cyber est un sujet donnant lieu à d’importants débats et à de nombreuses réflexions. Le rapport rendu le 7 septembre dernier par la Direction générale du Trésor sur cette thématique en est une nouvelle illustration. Répondant à la demande de Bruno Le Maire, ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique, il constitue l’aboutissement d’une année de réflexion au sein d’un groupe de travail composé de différents acteurs du secteur comprenant les services de la Direction générale du Trésor, les représentants des assureurs et des entreprises, l’ACPR, l’ANSSI, des entreprises d’assurance et de réassurance, des distributeurs d’assurance, des actuaires, et des experts du monde académique.

Les raisons justifiant un tel travail sont simples : la numérisation de notre économie engendre de nouveaux risques pesant sur les entreprises connus sous le nom de « risques cyber ». Ces derniers se matérialisent, le plus souvent, en cyberattaques. Le rapport constate que 54 % des entreprises françaises ont fait l’objet d’une cyberattaque en 2021 (p. 9). Au regard de notre dépendance à l’écosystème numérique, à l’accroissement tant en volume, en fréquence et en complexité des cyberattaques, ainsi que de l’importance des enjeux (la survie même des entreprises), un marché...