Le risque est un critère essentiel dans la pérennité d’une assurance. Le domaine de la cybersécurité fait actuellement l’objet de débat en France. Aucune loi, dans le pays, ne fixe le minimum de cybersécurité requis pour chaque entreprise ou prestataire. La question devenant davantage préoccupante, divers organismes axés vers le numérique ont initié une édition Matinale le 5 septembre 2022.
La cybersécurité est au cœur des préoccupations en France et à l'international. Si dans certains pays comme les États-Unis, il existe un seuil minimum de cybersécurité, il n'en est pas pour la France. Les risques sont toutefois réels. Cette situation a poussé divers acteurs du secteur à ouvrir le débat. L'objectif est de garder la pérennité de l'assurance cyber. L'idée de définir une norme a été évoquée à cette occasion. Le représentant de l'Amrae (association des risk manager), Philippe Cotelle, craint spécialement que le style américain ne s'applique d'office pour la France et l'Europe. Les risques pour les entreprises françaises ne sont pas identiques à celles des États-Unis selon lui.
Une réunion autour de la cybersécurité
Différentes entités ont initié une discussion pour parler des enjeux de la cybersécurité :
- L'Alliance pour la Confiance numérique ou ACN ;
- Stoïk, un cyber-assureur ;
- Ngo, Jung & Partner, un cabinet d'avocats ;
- CyberTaskForce.
Elle s'est déroulée lors de la Matinale le 5 septembre 2022. Les avis divergent sur la méthode à utiliser, mais tous sont d'accord sur la nécessité d'établir une référence des risques cyber. La nécessité d'instaurer rapidement un référentiel est entre autres reliée à la question d'une assurance cyber risques .
Pour plusieurs experts, ce serait à l'État de trancher pour un standard de cybersécurité . C'est d'ailleurs le cas aux États-Unis avec la loi FISMA ou Federal Information Security Management Act. La norme indiquée concerne initialement les établissements publics et les fournisseurs. Désormais, le système s'applique progressivement à l'ensemble de leurs sous-traitants.
Valeria Faure Muntian, ancienne députée et qui a coprésidé le département assurance à l'assemblée est d'avis de trouver une solution personnalisée. Elle craint que la France et même l'Europe ne soient tacitement contraints à adopter ce système.
La nécessité d'une approche propre
L'Amrae est d'avis d'effectuer une analyse plus profonde des risques pour faire progresser les entreprises françaises. Selon ses propos :
Ce niveau d'identification et de référentiel cible rendra les entreprises françaises mures pour être assurables et ce de manière résiliente tant pour l'assuré que pour l'assureur.
Philippe Cotelle, son représentant, souligne l'importance de tenir compte de la taille des entreprises et de leur secteur d'activité . Le cas des PME est ainsi évoqué lors de cette première édition. Le porte-parole s'explique :
Il est évident qu'on ne va pas demander à une PME d'avoir le niveau de cybersécurité d'un groupe du CAC 40.
L'Amrae souhaite ainsi attirer l'attention sur les spécificités de chaque cas. Cela concerne à la fois les risques et les moyens à disposition. Le rôle attendu de l'État est, selon lui, de conscientiser les sociétés concernées. Chacun doit comprendre les risques qu'il encourt afin de prendre les dispositions nécessaires .