Guerre en Ukraine: un prétexte pour ne plus assurer les entreprises contre les cyberattaques?
Les entreprises risquent-elles de ne plus être couvertes en cas de cyberattaques? Depuis le début du conflit en Ukraine, beaucoup de ces attaques sont imputées à la guerre et les assureurs pourraient refuser de les indemniser. C'est en tous cas ce que redoute l'Association pour le management des risques et des assurances de l'entreprise (Amrae), qui regroupe les "risk managers".
En effet, les assureurs ne sont pas tenus d'indemniser toutes les cyberattaques. De la même manière que les dommages matériels et économiques liés à la guerre ne sont pas couverts, la même règle s'applique à la cyberguerre. Ce problème risque de prendre de l'ampleur dans le contexte géopolitique actuel et alors que les cyberattaques provenant de Russie sont régulièrement pointées du doigt. Encore faut-il démontrer l'origine de l'attaque.
Une législation française pénalisante
Et c'est là que le bât blesse pour les entreprises françaises. En France, et c'est une particularité de notre législation, c'est au chef d'entreprise et non à l'assureur de démontrer l'origine de l'attaque.
Or, selon un responsable de l'Amrae, "il est quasiment impossible, même pour un très grand groupe, de prouver que l'attaque que l'on a subie n'est pas liée à une cyberguerre".
Partout ailleurs en Europe, la charge de la preuve est inversée. L'entreprise est indemnisée sauf si son assureur est capable de démontrer que l'attaque cyber est bien liée à une guerre.
Les grands groupes se tournent vers l'étranger
Dans ce contexte, certains grands groupes, dont les contrats arrivent à échéance début juillet, envisagent désormais de s'assurer à l'étranger, auprès des Lloyd's britanniques par exemple. C'est en revanche plus compliqué pour les PME et les ETI, qui ne sont pas outillées pour aller chercher des couvertures à l'étranger. Ces entreprises risquent donc d'avoir souscrit des assurances cyber pour rien. Elles risquent aussi de ne plus avoir envie de se couvrir.
Autre problème, enfin, les délocalisations de ces grands groupes risquent de tuer définitivement le marché de la cyberassurance, qui commence tout juste à décoller. Selon les derniers chiffres publiés par l'Amrae, ce marché s'élève à 316 millions d'euros, collectés à 85% auprès des grandes entreprises. Les responsables de l'association ont alerté Bercy et réclament une modification de la loi française afin de l'aligner sur les autres pays européens.