Les cyberattaques constituent l’une des principales menaces économiques pour les entreprises. Dès lors, le cadre juridique de la cybersécurité se renforce à l’échelle européenne et les institutions nationales accumulent les recommandations adressées aux organismes privés et publics. L’assurance cyber est également au centre de l’attention. Face au gouffre économique que peut représenter ce marché pour les assurances, son accès se durcit.

Depuis 2020, les cyberattaques ont augmenté de 400 % en France et 43 % des organisations françaises en ont été victimes au cours des 12 derniers mois, représentant un coût total de deux milliards d’euros. Si les petites et moyennes entreprises restent les cibles majoritaires des cyberattaques, d’autres acteurs font face à une montée exponentielle de ce type d’attaque. D’abord les collectivités territoriales : entre janvier 2022 et juin 2023, l’Agence de sécurité des systèmes d’information (Anssi) a enregistré et traité 187 cyberattaques visant ces structures administratives, soit 17 % de l’ensemble des incidents traités par l’Anssi sur cette période.

Les établissements de santé, publics comme privés, sont aussi dans le viseur. Au cours de l’année 2023, de nombreux hôpitaux ont subi des cyberattaques (CHU de Rennes, l’hôpital André-Mignot de Versailles, le Centre hospitalier sud-francilien de Corbeil-Essonnes…). Ces intrusions se matérialisent par un blocage des systèmes informatiques et par le vol de données personnelles sensibles (principalement les données de santé des patients). Ces structures ne sont pas visées par hasard. La quantité et la nature des données qu’ils génèrent ainsi que le peu de moyens financiers et techniques à leur disposition pour protéger leurs systèmes d’information en font des cibles parfaites pour les cybercriminels.

Des outils techniques et réglementaires émergents

Face au coût économique que représentent ces cyberattaques, des outils techniques et réglementaires émergent pour assurer une meilleure protection des entreprises. L’intelligence artificielle (IA) représente un de ces nouveaux outils. Il est d’ailleurs estimé que le marché de l’IA en termes de cybersécurité passera de 1 à 34,8 milliards de dollars d’ici 2025. L’IA revêt en effet de réels avantages pour prévenir les cyberattaques. Il est important de rappeler que l’erreur humaine est la cause principale des incidents de cybersécurité. L’IA pourra ainsi permettre une optimisation de la gestion des données, une meilleure détection des activités anormales ou des failles sur le système d’information ainsi qu’une automatisation de la procédure de réponse aux incidents. Mais il convient d’avoir à l’esprit que les cybercriminels s’appuient eux aussi sur l’IA pour parfaire leurs attaques…

"Des outils techniques et réglementaires émergent pour assurer une meilleure protection des entreprises"

De nombreux acteurs de la cybersécurité alertent sur l’utilisation croissante de l’IA pour contourner les systèmes de défense ou accroître l’efficacité des attaques. Particulièrement, sont de plus en plus exploités les Deepfakes (fausses vidéos créées à des fins malveillantes à partir d’images ou d’enregistrements existants) ou les Chatbot (comme ChatGPT) pour personnaliser et rendre plus persuasifs des e-mails d’hameçonnage notamment. De leur côté, les autorités nationales et européennes renforcent leurs exigences en matière de cybersécurité.

À l’échelle nationale, l’Anssi a publié en mai 2023 un outil pédagogique à destination des organisations publiques et privées comprenant une série de mesures préventives prioritaires à mettre en œuvre pour limiter le risque d’une cyberattaque. Également, la Commission nationale de l’informatique et des libertés (Cnil) a lancé en août dernier une consultation publique sur un projet de recommandations visant à regrouper l’ensemble des pratiques avancées de sécurité. Les autorités nationales veulent ainsi accompagner les organismes dans leur mise en conformité en matière de sécurités des données. La Cnil pourrait d’ailleurs opposer l’existence de ces outils aux organismes lors de contrôle et refuser de faire preuve de compréhension dans les sanctions financières prononcées en raison de l’insuffisance des mesures techniques et organisationnelles mises en place pour minimiser les risques liés à un système d’information.

"À l’échelle de l’Union européenne (UE), les institutions musclent le cadre juridique de la cybersécurité en adoptant récemment deux textes importants"

À l’échelle de l’Union européenne (UE), les institutions musclent le cadre juridique de la cybersécurité en adoptant récemment deux textes importants. Entrée en vigueur au sein de l’UE le 17 janvier 2023, la directive NIS 2 (Network and Information Security) vient accentuer l’harmonisation des exigences de cybersécurité sur le territoire de l’UE. La directive vient d’abord élargir le périmètre d’application de sa première version, en intégrant les administrations publiques et les entreprises de toute taille (des PME aux groupes du CAC 40). Puis, NIS 2 prévoit de nouvelles obligations pour les entités concernées sur le traitement des incidents, la gestion des risques, la sécurité de la chaîne d’approvisionnement, le chiffrement ou encore la divulgation des vulnérabilités. Après une phase de transposition dans le droit national, la directive sera d’application obligatoire à partir du 18 octobre 2024.

Le second texte européen majeur en matière de cybersécurité est le règlement DORA (Digital Operational Resilience Act). Entré en vigueur le 16 janvier 2023, le règlement a pour objectif "d’atteindre un niveau commun élevé de résilience opérationnelle numérique" des entités financières face au risque cyber au sein de l’UE. Ces entités se voient imposer une série d’obligations consistant en une gouvernance renforcée et une pleine responsabilité dans la gestion des risqués liés à leurs fournisseurs de services de technologies de l’information et de la communication – TIC (notamment les plateformes de cloud), la conduite de tests de la résilience opérationnelle numérique ou encore le partage d’informations liés aux cybermenaces entre les entités concernées. L’entrée en application du règlement DORA est fixée au 17 janvier 2025.

"Toutes les entreprises n’ont pas encore franchi le pas en se protégeant du risque de cyberattaques"

Cyberassurance : un marché prometteur mais fragile

Face aux cyberattaques, le marché de la cyberassurance (assurance destinée à couvrir les dommages économiques subis par les entreprises liées à une cyberattaque) s’est développé ces dernières années. Néanmoins, il convient de constater que toutes les entreprises n’ont pas encore franchi le pas en se protégeant du risque de cyberattaques. En effet, si la quasi-totalité (98 %) des grands groupes est déjà couverte par une cyberassurance, seules 10 % des ETI, 3 % des PME le sont. Si un tel marché des cyberassurances est nécessaire, il reste fragile. Début 2022, les entreprises ont été affectées par une hausse significative du coût de la cyberassurance, entre 50 et 100 %, et par une réduction du champ de la couverture. Face à cette situation, certaines entreprises ont préféré renoncer à cette protection.

Ce durcissement du marché de l’assurance cyber résulte du constat simple du nombre important de sinistres cyber et, par conséquent, d’un risque de déséquilibre entre les primes encaissées et les indemnités versées par les assurances (le montant moyen d’une rançon pour une entreprise privée s’élève à 250 000 euros).

En 2023, l’équilibre du modèle économique des cyberassurances n’a pas encore été trouvé et le coût des assurances risque de restreindre davantage l’accès à cette couverture pour les ETI et PME. En tout état de cause, il est important de rappeler aux assurés l’impact de l’article 5 de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’Intérieur qui crée l’article L. 12-10-1 du code des assurances : depuis le 25 avril 2023, date d’entrée en vigueur de cet article, le versement d’une somme en application d’un contrat d’assurance visant à indemniser un assuré du préjudice subi par une cyberattaque, est subordonné au dépôt d’une plainte par l’assuré dans les 72 heures de l’attaque. Il est dès lors primordial pour les entreprises assurées d’intégrer dans leur politique de gestion de crise en cas de cyberattaque, la nécessité d’un dépôt de plainte dans le délai susvisé. 

 

SUR L’AUTEUR

François-Pierre Lani, titulaire du DESS Droit, informatique et technologies nouvelles est un avocat spécialiste reconnu en droit de l’informatique et des technologies nouvelles. Il a été pendant plus de dix ans juriste et directeur juridique au sein de différentes directions juridiques dont celles d’acteurs majeurs tels qu’Axa, Sligos (Atos) et le groupe Elf Aquitaine. Son expérience au sein d’entreprises importantes, ainsi que ses dernières fonctions de "business development manager" pendant trois ans sont un véritable atout pour l’accompagnement des dirigeants dans leurs différentes décisions, leurs opérations de fusions-acquisitions mais également dans le déroulement de leur propre carrière.

Il intervient désormais dans de nombreux colloques notamment sur les risques informatiques, l’intelligence artificielle, la dématérialisation. Il figure également dans les principaux classements dédiés au droit des nouvelles technologies, français et internationaux tels que Chambers, Legal 500 ou encore Best Lawyers.

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

GUIDE ET CLASSEMENTS

> Guide 2023