Publicité en cours de chargement...

Publicité en cours de chargement...

Un rapport de la direction générale du Trésor sur l’assurance du risque cyber

12 sept. 2022 - 17:28,
Actualité - DSIH
Le 7 septembre, le ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique a publié un rapport de la direction générale du Trésor sur le développement de l’assurance du risque cyber conçu comme un plan d’action.

Le risque cyber, en particulier les cyberattaques, concerne l’ensemble de l’économie, notamment le domaine de la santé. Un risque accentué par la dépendance au numérique, la crise sanitaire et le télétravail, dont le ministère chargé, entre autres, de la Souveraineté numérique s’est saisi.

Article connexeEn direct de l’APSSIS - Cyberattaque : le retour d’expérience et les conseils du GHT de Dordogne

Les constats du ministère

Selon le ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique, le risque cyber représenterait à peine 3 % des cotisations en assurance dommage des professionnels, en raison de la difficulté à appréhender à la fois le risque cyber pour les entreprises, en particulier les plus petites, et ses impacts pour les acteurs de l’assurance, notamment lors d’incidents de grande ampleur.

Or, l’assurance de ce risque constitue aux yeux du ministère un levier essentiel du renforcement de la résilience de notre tissu productif. Bruno Le Maire, ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique, a donc demandé à la direction générale du Trésor, en juin 2021, de mettre en place un groupe de travail sur le développement d’une offre assurantielle de couverture des risques cyber. Y sont associés les services de l’État, des représentants des entreprises, des organismes d’assurance et de réassurance ainsi que des experts du monde académique.

Le rapport de la direction générale du Trésor

En septembre, le Trésor a ainsi publié Le Développement de l’assurance du risque cyber, un rapport proposant un plan d’actions décliné en quatre axes :

  1. Clarifier le cadre juridique de l’assurance du risque cyber. La poursuite des efforts de clarification des clauses des contrats traditionnels constitue une priorité pour mettre fin aux incertitudes qui peuvent entourer la couverture éventuelle de dommages consécutifs à la réalisation d’un risque cyber. Il est ainsi recommandé de diffuser des bonnes pratiques de rédaction pour améliorer la prise en compte de ce risque. À moyen terme, il est proposé de renforcer l’information des assurés sur l’étendue de leurs garanties. Enfin, l’obligation d’un dépôt de plainte de la victime pour permettre l’assurabilité d’une cyber-rançon ainsi qu’un principe général d’inassurabilité des sanctions administratives sont également proposés pour lever des ambiguïtés dommageables aux assurés comme aux assureurs.

  2. Favoriser une meilleure mesure du risque cyber. Le rapport recommande d’améliorer l’évaluation des risques des assureurs afin de permettre aux acteurs de mieux prendre en compte leur exposition au risque opérationnel cyber. La création d’une catégorie de reporting au superviseur dédiée au risque cyber puis, à moyen terme, d’une branche cyber spécifique est également recommandée. Il est, par ailleurs, préconisé de faciliter la transmission d’informations entre assureurs au sein d’une plateforme de partage de données sur les incidents cyber issue d’un partenariat public/privé, afin de disposer de davantage de données sur ce risque.

  3. Améliorer le partage de risque entre assurés, assureurs et réassureurs. Outre la promotion de solutions innovantes, comme l’assurance paramétrique qui permet le versement automatique d’une prestation établie en fonction d’un indice mesurable automatiquement, le développement de solutions d’auto-assurance telles que les captives de réassurance pourrait permettre de créer un marché de l’assurance du risque cyber. La mise en place d’une provision dédiée apparaît, à cet égard, être une solution pertinente pour permettre aux entreprises de mieux gérer leur risque cyber.

  4. Accroître les efforts de sensibilisation des entreprises au risque cyber. Il est préconisé de développer les coopérations entre acteurs publics et privés sur les territoires pour sensibiliser le tissu économique local et d’accroître les efforts de formation des professionnels de l’assurance. La définition de référentiels de sécurité partagés et un travail sur l’harmonisation des questionnaires de sécurité utilisés par les assureurs constituent également un levier pour renforcer la résilience des entreprises.

Ce rapport propose des actions concrètes et crédibles pour développer un marché de solutions assurantielles, tout en renforçant la prévention du risque cyber. « Il est issu d’une large concertation avec l’ensemble des acteurs concernés : fédérations d’entreprises, assureurs, experts du monde académique et superviseurs. Je souhaite que ces orientations soient mises en œuvre le plus rapidement possible, explique Bruno Lemaire. L’enjeu est crucial : il s’agit d’affirmer la souveraineté numérique de notre économie face à un accroissement des menaces cyber, pour renforcer la résilience de nos entreprises. »

La task force dédiée à l’assurance du risque cyber sera mise en place d’ici à la fin septembre. Une première mesure dédiée aux cyber-rançons sera intégrée au projet de loi d’orientation et de programmation du ministère de l’Intérieur présenté mercredi dernier en Conseil des ministres.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

29 juil. 2025 - 11:09,

Actualité

-
Marguerite Brac de La Perrière

Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Illustration Dernier billet philosohico-cyber avant la plage

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,

Tribune

-
Cédric Cartau

À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.