Publié le 26 déc. 2022 à 19:13
Face aux attaques des pirates du Net, Mario Greco tire la sonnette d’alarme. Pour cette figure de l’assurance européenne, actuel directeur général de Zurich Insurance et ancien patron de Generali, les cyberattaques vont devenir « inassurables », davantage encore que les catastrophes naturelles qui font les gros titres, sur fond de dérèglement climatique.
« Ce qui va devenir inassurable, ce sera la cybernétique, a-t-il déclaré au « Financial Times ». Si quelqu’un prend le contrôle des parties vitales de notre infrastructure, quelles en seraient les conséquences ? »
« Question de civilisation »
Les attaques contre les hôpitaux, ministères, entreprises et infrastructures de transport ou d’énergie peuvent perturber gravement le fonctionnement de l’économie, mais aussi la sécurité humaine.
« Il faut que l’on comprenne qu’il ne s’agit pas seulement de données. Il s’agit d’une question de civilisation. Ces personnes peuvent gravement perturber nos vies », rappelle Mario Greco.
Face à la multiplication des attaques, les assureurs se montrent déjà plus réticents à endosser ces risques et absorber les pertes… et ont augmenté leurs prix . Sans compter que l’origine de l’attaque , isolée ou commanditée par un Etat, est souvent difficile à déterminer.
Zurich lui-même a d’abord refusé d’indemniser le géant alimentaire Mondelez après l’attaque du logiciel malveillant NotPetya , au motif que le contrat excluait une « action de guerre ». Avant de nouer un accord avec son client trois ans plus tard, en novembre dernier. Entretemps, le groupe pharmaceutique Merck avait remporté une retentissante victoire judiciaire aux Etats-Unis, dans l’affaire NotPetya.
Nouvelle loi en France
Face aux risques financiers et juridiques, Mario Greco appelle les gouvernements à « mettre en place des dispositifs privé-public pour gérer les cyberrisques systémiques qui ne peuvent être quantifiés, à l’instar de ce qui existe dans certaines juridictions pour les tremblements de terre ou les attaques terroristes ».
En septembre dernier, les Etats-Unis ont lancé une consultation sur une éventuelle réponse fédérale en matière d’assurance cyber.
En France, la loi de programmation du ministère de l’Intérieur (LOPMI), adoptée ce mois-ci, légalise l’indemnisation des cyberrançons payées par les entreprises, à condition qu’elles portent plainte. Ce type de garantie est décrié par certains, dont le patron de Zurich, par crainte d’une incitation au chantage.
Mais cette clarification du droit était réclamée par des assureurs comme AXA, et soutenue par Bercy qui souhaite faire décoller le micro marché de l’assurance cyber. En 2021, il pesait 219 millions d’euros, soit 4 % du marché des primes dommages des entreprises tricolores.