ATOUT RISK MANAGER N°35

ATOUT RISK MANAGER N°35 I HIVER 2022-2023 45 À l’affiche Le casse-tête de l'assurance cybe r reste entier Par Laurent BARTHELEMY jeudi 13 octobre 2022 16:15 507 mots - 2 min TECHNOLOGIES-INFORMATIQUE-ASSUR ANCES-CYBERSÉCURITÉ Monaco, 13 oct 2022 (AFP) - Inflation des primes et couver ‐ tures en baisse: compagnies d 'assurance et entreprises peinent à trouver le bon équilibr e pour assurer un risque cyber e n pleine explosion du nombre d'atta ques par rançongiciel. Lorsque la SNCF a commencé en 2017 à se protéger contre c e risque, "les assureurs faisaient la danse du ventre" pour décrocher le marché mais, "maintenant, c'e st moi", a expliqué Gilles Berthe ‐ lot, directeur de la sécurité numérique du groupe ferroviaire, lor s d'une table-ronde aux Assises de la cybersécurité de Monaco. "Aujourd'hui, on a l'impression de payer plus pour être toujour s moins couverts", avec des "pr imes et des franchises qui au g‐ mentent" et des "couvertures maximales qui baissent", a-t-il sou li‐ gné. Or, une attaque par rançongicie l peut coûter très cher. "Pour u n groupe comme la SNCF, même à 100 millions d'euros de couve r‐ ture, on est en dessous de ce que serait un sinistre" si un rançongi‐ ciel se répandait dans l'entrepris e. "300-400 millions" pourrait êtr e un coût "réaliste", a-t-il évalué. Joël Mollo, vice-président France de la société américaine de cyber‐ sécurité Cybereason, confirme le très net durcissement de s condi‐ tions d'assurance. Lors d'une table-ronde professionnelle cette s e‐ maine, les entreprises témoignaient "d'augmentations de 30% min i‐ mum de leurs primes", a-t-il rapp orté à l'AFP. - Equation difficile - "Et toutes les assurances ont inc orporé une franchise" pour les d é‐ gâts causés par un logiciel malv eillant, "voire une exclusion" de la couverture pour ceux causés par un rançongiciel, a-t-il ajouté. Mais pour les assureurs, l'équat ion est difficile. "En 2020, le mar ‐ ché de l'assurance cyber a perd u beaucoup d'argent en France", avec des indemnisations très la rgement supérieures aux prime s versées et essentiellement dirigé es vers de grands groupes touché s par des attaques spectaculaires, a rappelé Philippe Cotelle, admi‐ nistrateur de l'Amrae, une associ ation française de gestionnaires d e risques. 1 MIRIS e c s '1,.,Ç '-J.'-'lllque;;:;nnat. '--i2.TU11DC eux, laministre déléguée aux ectivités territoriales, l'a exué à quelques journalistes n'est plus temps defaire un bang territorial. Mieux vaut rifier les compétences. » Pas question, donc, de revenir le maintien des départements, i ont « montré leur utilité pennt la crise du Covid », ni sur les andes régions de François Holnde, même si elles ont « montré urs limites», notamment en ce ui concerne les agences régioales de santé (ARS). En revanche, le« conseiller tertorial » pourrait faire son grand etour. Imaginé par Sarkozy, ce onseiller à la fois départemental et régional avait été abandonné parHoU.ande dès son élection.« Le Président (Macron) nous a demandé d'y réfléchir», a confié Caroline Cayeux. Encore un élément du pacte passé entre Sarko et Macron ? Les craintes deWauquiez LaurentWauquiez, qui soutient Eric Ciotti dans la course à la présidence deLR, espère vivement que son poulain l'emportera dès le premier tourdu scrutin, le 4 décembre.II redoute, en cas de ballottage, la division - comme si c'était possible, chezLes Républicains... - et, plus encore, la constitution d'un front anti-Ciotti (Retailleau plus Pradié) pour le second tour. Ciotti, on le sait, a déjà dit qu'il s' efforcerait de faire désigner dès 2023 le candidat du parti à la prochaine élection présidentielle, en l'occurrence un certainLaurent Wauquiez, auquel il s'est rallié par avance. Un Wauquiez plus concentré que jamais sur l'échéance de 2027 et quifera tout pour éviter qu'une alliance soit conclue d'ici là entre Macron etLR. c·est une première : le président de la commission des Finances, Eric Coquerel, a été désavoué par ses camarades Insoumis.L'humiliation a eu lieu àpropos duprojet de loi de finances rectificative. Certains amendements du groupe LFI ayant été retenus, Coquerel avait expliqué à ses collègues, et même à Gabriel Attal, que son groupe s'abstiendrait. 11 s'y était même engagé dans son discours à la tribune de l'Assemblée.« Il n'y a pas de raison de mettre ce texte en échec», avaitil lancé. Mais, dans la nuit du 8 au 9 novembre, sur le coup de 3 heures du matin, patatras : une quarantaine de députésLFIse réunissent dans le salon Delacroix, attenant à l'hémicycle, et annoncent à leur retour qu'ils voteront finalement contre le texte. AprèsRuffin, qui se définit désormais comme « social-démocrate », Coquerel le social-traiîre? (" La Croix», 17/11) : " L'inflatlon esten train de grignoter le peu qui reste aux pauvres. » Ils ne sont sans doute pas au bout de leur peine ... • tllUJ.. • :)p rssn-e •s _ • � _ ___o... •• -t..X>l conscription du Pa��t le ,, spectre passé sous la bannlEcrotie ». Après to niste, avait jugé plus P-es m:idterms, :e ne pas se représenter. <q ue, depnie s'en dédit. 'tlhlg de sepus parmi les · · "J.grès était DARMANIN DÉ.FEND LE MONDIAL AU QATAR 13 %. La C'E:S-r t'flR CE GEt-!RE: 1>'ÉvÉt-llS°MEN1s SPoR'TTfS Qt.11 0"1 fAï-r ÉVoLU€R US l'NfS ... . Diane ,------------, "'0 aDJ3, [f', 15E1'l, "f1ïMAGïrJE:S, Sï ',1.!_ q u i ON AVAi--f' ?AS Ç°p,ï-r l...!�S . A.. -:fo � BERL,l\l, E..i 36? Revoilà les classes moyennes ! AU MENU de 1a réunion des ministres, le 17 novembre à Matignon : grandeur et.souffrance des classes dites « moyennes ». « Il y a unmouvement social aujourd'hui enFrance qui n'est pas structuré, c'est celui des classes moyennes 1 s'est écrié le ministre des Comptes publics, Gabriel Attal. Elles bossent dur et elles ont le sentiment qu'on balance des Canadair d'argent public pour q.ider ceux qui ne bossent pas. Si on ne répond pas à ça, on· ny arrivera pas.» Le .ministre délégué à l'lndustrie, Roland Lescure, acquiesce et met l'accent sur ,< l'angoisse des classes moyennes». Clément Beaune, le ministre des Transports, insiste : « Il y a une crainte du déclassement chez les classes moyennes. » - - -■ - - -- ;; - Hervé Berville le secrétaire d'Etat à la Mer, en rajoµte: « n y a un vrai sentimentdedépossession des classes moyennes. Le sentimentd'un horizon bouché, qu'il est impossibk de vivre là où l'on est né; où l'on a grandi, notamment à causede la hausse du cofi.t du logement sur les côtes ou dans les zones touristiques. D'où la nécessité de mettre les bouchées doubles sur le travail, la baisse qes im: pôts des classes moyennes, comme on l'a fait. » La Première ministre approuve et rappelle sa décision : inclure ces fameuses classes moyennes parmi les bénéficiaires de 1'« indemnité carburant travailleurs », qui sera mise en place en janvier et est censée adoucir la fin de la remise gouvernementale actuelle. Merci po1!1' elles ! · · ·slŒîlors ap s 9rîl!S sµrqs�aai ia saro.raplŒq 'saµeout?d am�m i1rns -S�OJ .rnar 'aA�.rîl Ua a.rnam as ap siueo.rammoo sar snoi � a.rp.ro.r iuam ·H U! su : s 9 mns9 .rd s.manaJio-e.r sap aisodrn: ·s.rap-erd sap saqood ar suep sa9Ano.ria.1 iuos anuuoou! aotnmaA -a.rd ap sasstin sarraq sanbranb 'lIO!S 'JViJ- .Lflv:J '1noa1n ô'9î1VJ-SN!,� .u-JV -tlJJO anao V ·aono tl{ ia a1rnnop tlI -nad sap aoua.1 9 mpuu süip 's!rio - q -W"BJ ar S1IBp SU!tlW Sa{ S!W .l!OA"B,p SyUUOodnos lUOS sn1 9 sap "Q.O 'SaUl ! l ·J!'.A ia Sti!OWsJl aouaus nti 9 uurepuoo sdmaµfaor tl '.j."BUIHJ xna.foÇ un "Q.O anawrnq ap Y'lP aun,p !nrao ·a.rqmaA -ou gz np .IJ:µtid v .raîlnÇ"BA safITtls.IaA ap 18mIOfl08.UOJ rsunqµi 0 ar anb 'IXX an1til ap i aJI -oti.r tm,p :llliIOJ.SIH(I J.S& ·a.iqmaaou Bi: a1 a.iano,s n1� un,p 1n1a;J 1a s�ao.id .1na7 ·�.1.in.oj[-JVA np �qa.ivm np s1v1� OOf:1 sa1 a�1ii�.1 a_dnoa ua S]1.U 1uo anof-v1-sa1uvw ap spJpa sap 'aµrom v1 ap ap]v,z aaay a:,ue.1:1 ap fq:,.1ew pue.a& sn1d a1 suep Bercy captif des ''captives'' MALGRÉ sa majorité re lative, le gouvernement tente de faire adopter, en toute discrétion, un amendement bien utile aux grandes entreprises. En témoignent les aventures de la niche fiscale destinée àfaciliter la création de sociétés dites « captives » d'assurance. Pour reprendre le jargon de la profession, ces captives permettent à des grands groupes de s'assurer eux-mêmes : les :filiales desdits groupes versent dans leurs captives des provisions qui couvrent leursrisques majeurs. Un excellent moyen d'échapper à la hausse continue des primes que pratiquent les assureurs et réassureurs traditionnels.EDFet, récemment, Publicis ont déjà franchi le pas et créé leurs propres captives. Lors de la discussion duprojet de budget 2023 à l'Assemblée, le ministère de l'Economie, après une première tentative avortée en 2021, avait déposé, à la demande des grandes entreprises, un amendement visant à accorder aux captives un avantage fiscal non négligeable. A la dernière minute, face au débat qui montait sur les superprofits, et lafaible fiscalité sur lesdits profits, Bruno Le Maire le retira avec cette explication : « J'estime nécessaire de bouger sur les captives d'assurance. Finalement, cet amendement a été retiré. Je prends l'engagement que nous agissons en totale transparence : il ne sera pas dans le texte final du gouvernement. » Arrive, la semaine dernière, le débat du projet de loi budgétaire au Sénat et, vendredi 18, miracle : il se trouve unsénateur macroniste et un de ses collègues Républicain pour faire adopter un amendement créant bel et bienune niche fiscale pour les captives - cette fois avec l'aval du gouvernement. Le ministre du Budget, Gabriel Attal, s'y rallie, sous réserve : le montant de l'avantage fiscal sera fixé par décret, et le débat sur son montant et son mode de calcul aura lieu lors de l'examen du texte à l'Assemblée. Il faut espérer, pou-r ces grands groupes et pour le gouvernement, qu'aucun député n'aura le mauvais goût de s'étonner de la propension <lesdites captives à se domicilier dans des pays à la fiscalité particulièrement douce. Tel EDF, dont la captive, Wagram Insurance Company, est installée depuis 2020 en Irlande... Une nouvelle captive voit le jour en France vendredi 14 octobre 2022 438 mots - 2 min : HTTP://WWW.ARGUSDELASSURANCE.COM Un grand groupe français vient de se doter d'une capti ve de réassu‐ rance. Il s'agit de la troisième créée dans l'Hexagone e n l'espace d'un an. Près d’un an après le géant de l’agroalimentai re Bon‐ duelle, et de SEB, c’est au tour d’un champion de la co mmunication tri=,color=e de rejoindre le cercle fermé des groupes f rançais dis‐ posant d’une captive de réassurance domiciliée en Fran ce. En effet, l’ACPR a accordé un agrément pour une activité de réa ssurance non vie à la société Publicis Ré, captive du groupe Publ icis (11,7md€ de chiffre d'affaires en 2021), dont le siège social est si ‐ tué dans le 8e arrondissement de Paris. La décision est parue au Journal Officiel du 14 octobre. Une captive en moins de 4 mois Se ‐ lon nos informations, le spécialiste de la communicatio n s’est fait accompagner par le courtier Marsh. Cet agrément a ét é délivré 4 mois après la création de Publicis Re, société anonyme au capital de 20M€. Le conseil d’administration est présidé par le directeur fi‐ nancier du groupe Publicis Michel-Alain Proch. La dire ction géné‐ rale est assurée par Sylvie Ouziel, directrice générale d es plate‐ formes partagées, tandis que la direction générale délé guée sera occupée par Rachel Guibert, risk manager du groupe. Un outil stra‐ tégique « incontournable » Face aux redressements tar ifaires des assureurs, et fortement encouragées par l’Amrae, asso ciation des risk manager à l’origine de la création de la fédération française des captives d’entreprise, Dans ce contexte de marché, les entre‐ prises françaises se sont ouvertes à ce dispositif. En effet, après 20 ans sans création, trois entreprises se sont dotes de leu rs propres captives de réassurance domiciliée en France depuis 20 21. « Les captives ont un rôle à jouer pour absorber la fréquence et l’exposition la plus forte. Les captives font partie des ou tils que les grandes entreprises doivent utiliser » explique Philippe Cotelle, porte-parole de l’Amrae, fervent promoteur de la captiv e à la fran‐ çaise. À lire : Philippe Cotelle (Airbus) : « L’utilisation d e la captive devient stratégique » Un projet fiscal incitatif en gestation Ces créations ont lieu au moment où Bercy travaille sur un projet fiscal incitatif pour faciliter la domiciliation de captives de ré assurance en France. Cependant, après avoir été mis en suspens l ors de l’examen du projet de loi de Finances 2022, l’histoire s emble à nou‐ veau se répéter. Dans le cadre de l’examen du projet de loi Fi‐ nances 2023 à l’Assemblée nationale, le gouvernement vient de re‐ tirer un amendement qui devait favoriser la création de captives de réassurance en France. Une volte-face qui laisse nombr e d’observateurs perplexes. C’est un nouveau rendez-vou s manqué pour la captive de (ré)assurance à la française. A lire : La captive d’assurance à la française devra encore patienter Tous droits réservés Le Moniteur 2022 3a7cc5ee8fc5198650a995c04e0781a701d9e2Xc91a114b315 7747a Parution : Continue 1 Les bonnes poires des rancongiciels N° 5317 mercredi 5 au mardi 11 octobre 2022 Page 3 556 mots - 2 min PUBLIÉ le 7 septembre, un rapport de Bercy qui recommandait aux assureurs d'indemniser les entreprises ayant dû payer des rançons aux pirates informatiques a fait le bonheur des escrocs : dans les jours ayant suivi l'annexion de l'étude au projet de loi d'orientation et de programmation du ministère de l'Intérieur, la France a subi un pic d'at-, taques de type rançongiciels ! L'info, en effet, avait fait le tour des forums de hackeurs. Selon le ministère de l'Economie, 54 % des entreprises françaises auraient fait, en 2021, l'objet d'une Cyberattaque - et une sur cinq serait passée à la caisse, souvent en secret. Les autorités, cependant, restent fermes : ne payez pas et portez plainte dans les 48 heures. Le ministère espère que le conditionnement à la plainte permettra aux gendarmes, aux policiers et à l'Agence nationale de la sécurité des systèmes d'information (Anssi) de collecter des infos sur les larcins. Bonne idée ! Encore faudrait-il renforcer le « parquet cyber », qui se débat avec seulement trois magistrats. Dans un rapport parlementaire publié le 13 octobre 2021, Valéria Faure-Muntian, députée LRM, l'affirmait déjà : « le paiement des rançons aliment [ait] la cybercriminalité » et que « rien ne garanti [ssai]£ que la rançon payée soit un gage de retour à la situation initiale ». Hackeurs très assurés En avril 2021, Guillaume Poupard, le directeur de l'Anssi, dénonçait, lui, lors d'une audition au Sénat, le rôle des assureurs dans le paiement des rançons, arguant qu'ils «garantissaient trop souvent le paiement des sommes exigées par les cybercriminels ». Sur le réseau professionnel Linkedln, il a commenté l'annonce du 7 septembre en postant une photo de chat dépité, front appuyé contre une poutre. Ambiance ! Qui a bien pu souffler l'idée de ce rapport à Bercy ? « Le lobby des assureurs, qui voient leurs clients s'assurer chez les Anglo-Saxons », suggère un spécialiste. Aujourd'hui, à en croire une étude de l'Association pour le management des risques et des assurances de l'entreprise (Amrae) publiée en juin, seulement 4,4 % des grandes entreprises sont couvertes pour les risques cyber. Les PME et TPE le sont moins encore, alors qu'elles s'avèrent les plus vulnérables : « Une PME sur deux qui ne paie pas la rançon dépose le bilan », avance Franck Le Vallois, le directeur général de France Assureurs. Plusieurs experts en cybersécurité s'inquiètent de voir les hackeurs pénétrer les fichiers des assureurs pour cibler les supposées poules aux œufs d'or. « C'est une caricature, botte en touche Franck Le Vallois. L'assurance permet au contraire de délivrer des mesures de prévention contre la cybercriminalité aux entreprises. » Les administrations, pour l'instant, ne sont pas concernées. La preuve : parce qu'il n'a pas casqué les 10 millions d'euros réclamés par le groupe Lockbit 3.0, l'hôpital de Corbeil-Essonnes a vu 11 gigaoctets de contenus sensibles fuiter, a-t-il annoncé le 23 septembre. Une consolation : payer ne prémunit de toute façon en rien contre une divulgation... ■ par Fanny Ruz-Guindos Tous droits réservés 2022 Le Canard enchaîné c37195018405d28db0319c700c03310f3e34d24d 69e642794441662 Parution : Hebdomadaire 1 CAPTIVES Cyberattaque : le paiement des rançons ne calmera pas la défiance entre assureurs et entreprises vendredi 14 octobre 2022 08:44 2119 mots - 8 min : CHALLENGES L'assurance est en pleine interrogation devant le risque cy‐ ber. Plus question de le mettre dans les garanties classiques tant les ramifications d'une cyberattaque peuvent entraîner des pertes abyssales qu'un assureur a du mal à assumer. Le retour à l'équilibre passe par une augmentation des tarifs et par une redéfinition du risque qui font grincer les dents des entreprises qui hésitent à se couvrir. L'autorisation d'indemniser les cyber-rançons par le Sénat mercre‐ di ne changera pas la donne du marché. C'est un courrier électronique envoyé à des milliers d'agents géné‐ raux d'Axa, ces entrepreneurs qui gère une agence sous l'égide de la multinationale. L'objet du mail, écrit en lettres capitales par leur assureur Sapa, note son caractère "urgent" et "important". Ces pro‐ fessionnels ne signant pas l'avenant avant le 23 octobre, 15 jours seulement après l'envoi du courrier, verront purement et simple‐ ment leur contrat résilié. La sommation ? Accepter l'exclusion des garanties cyber présentes dans leurs contrats de responsabilité ci‐ vile. Sans accord de leur part, le contrat sera caduc au 1 er janvier 2023. Le risque cyber est trop grand et Sapa ne veut plus l'assurer dans ses produits classiques. L'attitude de Sapa résume bien ce qui se passe dans le monde feu‐ tré de la cyber-assurance : même les assureurs des courtiers veulent réduire et isoler les aléas portés par ce type d'offre. Car si les dangers cyber (attaques, rançons, etc) sont au cœur de toutes les craintes des entreprises - en 2e place du classement des risques émergents établi par le "Future Risk Report" d'Axa – s'aventurer à les assurer est encore loin d'être rentable pour les professionnels du secteur. En 2020, le coût des sinistres supporté par les assu‐ reurs dépassait de loin le montant des primes engrangées. Le mar‐ ché de l'assurance cyber est certes revenu à l'équilibre avec un ra‐ tio sinistres/primes redescendu à 88% mais un tel réajustement s'est fait au prix fort : augmentation des tarifs, plafonnement des garanties et conditions de plus en plus draconiennes pour décro‐ cher les contrats. "Les derniers renouvellements resteront dans les annales, note l'étude 2022 de l'AMRAE, présidé par Oliver Wild, directeur des risques et des assurances de Veolia. Jusqu'aux tout derniers jours de 2021, de nombreuses entreprises ont craint de se retrouver sans solution d'assurance cyber faute de proposition décente. La situa‐ tion va laisser des "traces" et a entrainé "une perte de confiance" entre les acteurs et a "déséquilibré le marché". 1 COURTIERS https://www.silicon.fr/wp-content/themes/kamino/assets/images/logos_silicon/ france.png chelin) Jean-Michel Detourney (ex-administrateur de Solvay Finance) Eberhard Faller (ex-SVP, BASF) Patrick Fiedler (SVP, BASF) Brigitte Japiot (administratrice, Thales Assurances et Gestion des Risques) Loïc Leymarie (directeur des risques, Adeo) Mark Pollard (COO de MIRIS ; ex-Marsh) Daniel Vanwelkenhuyzen (directeur général, ELINI & NIRA & BlueRe) Oliver Wild (directeur des risques et assurances, Veolia Environnement) En toile de fond, les encouragements de Bercy à développer de tels mécanismes face au déséquilibre du marché de l'assurance cyber. Les membres de MIRIS ont tous leur captive interne. Mais la France est un terreau peu favorable à la création de ce type de structures. En tout cas par rapport à des pays comme le Luxembourg, où la procédure est techniquement et fiscalement plus « légère ». Photo d'illustration © Sergio Donà Itestro – Fotolia Publicité Publicité 2 MIRIS : alliance au CAC 40 pour une « mutuelle cyber » lundi 3 octobre 2022 11:07 498 mots - 2 min : SILICON.FR Destinée à couvrir exclusivement le risque numérique, MIRIS réunit des entreprises allemandes, belge et françaises, dont trois du CAC 40. « C'est passé sous le radar de beaucoup. » Ainsi Raphaël Marichez, CSO Europe du Sud chez Palo Alto Networks, commente -t-il la création de MIRIS. La constitution de cette association de droit belge remonte effectivement au mois d'avril . Ses membres fondateurs : Airbus SE, BASF SE, Solvay, Sonepar, Compagnie Financière Michelin, Groupe Adeo (maison mère de Leroy Merlin) et Veolia Environnement. Dans les grandes lignes, MIRIS est une « mutuelle cyber ». Plus précisément, pour reprendre les termes de l'annonce officielle publiée au Moniteur belge, il s'agit d'une : entreprise d'assurance et de réassurance non-vie prenant la forme juridique d'une association d'assurance mutuelle de droit belge […] ayant pour but désintéressé de protéger ses membres contre les risques informatiques par le développement d'activités d'assurance et de réassurance MIRIS (Mutual Insurance and Reinsurance for Information Systems) fonctionne par capitalisation : il faut monter au capital pour être couvert (cotisation annuelle). La mise initiale pour chaque membre est de 5 M€. Cela doit leur offrir jusqu'à 25 M€ de couverture individuelle sur les deux premières années. En fonction des souscriptions, l'objectif est de passer à 30 M€ sur la troisième année. MIRIS, une captive franco-allemande L'idée n'est pas de remplacer les assureurs, mais de pallier le manque de capacités ou de compenser les prix élevés. L'association a d'ailleurs un point d'attachement à 10 M€. MIRIS entend délivrer ses premières couvertures d'assurance au 1 er janvier 2023. Il lui faut encore obtenir l'agrément de l'autorité compétente belge. Elle se laisse la possibilité d'activer le levier réassurance en cas d'opportunités favorables. Le conseil d'administration initial – nommé jusqu'en 2025 – se compose comme suit : François Beaume (directeur des risques et assurances, Sonepar) Sonia Cambier (directrice assurance et prévention, Solvay) Philippe Cotelle (directeur de l'assurance cyber et du management des risques assurantiels, ADS) Nicolas Deparday (directeur de l'assurance et de la stratégie immobilière, Mi1

RkJQdWJsaXNoZXIy MTY5MDI1MA==