Florence Lustman (France Assureurs) : « La donnée est une opportunité qu’il faut saisir collectivement »

Florence Lustman, présidente de France Assureurs, appelle à faire de la lutte contre les risques cyber « une priorité nationale » et insiste sur la nécessaire sensibilisation des entreprises.

Quelle est la position de France Assureurs pour le deuxième tour de l’élection présidentielle ?

La fédération que je préside, en tant qu’organisation apolitique, ne peut pas exprimer de préférence politique. Cela étant dit, comme vous le savez, France Assureurs est membre du Medef qui, traditionnellement, exprime une position à l’occasion de l’élection présidentielle.

Vous rendez justement public votre dernier livre blanc « Bâtir une économie de la donnée ». Pourquoi terminer par ce sujet ?

La démarche sur l’ensemble des livres blancs a été la même : partir des sujets qui intéressent les Français et les croiser avec ceux sur lesquels les assureurs ont une légitimité à s’exprimer. Le digital est prépondérant dans notre vie quotidienne et sa place ne fait que croître de jour en jour, ce qui peut parfois susciter des inquiétudes relatives à la vie privée, à la souveraineté ou aux attaques cyber. La donnée a toujours été au cœur du métier d’assureur : les actuaires sont les premiers data scientists. La donnée est avant tout une formidable opportunité qu’il nous faut saisir collectivement.

Comment faire concrètement de la lutte contre les risques cyber « une priorité nationale » ?

Je veux rappeler que la prévention du risque cyber est la clé de voûte de l’économie de la donnée. Dans la Cartographie des risques 2021 publiée par France Assureurs en janvier dernier, les experts du secteur de l’assurance et de la réassurance estiment une nouvelle fois que le risque cyber constitue la principale menace à un horizon de 5 ans. La solution pour réduire l’exposition à ce risque réside avant tout dans l’amélioration de la prévention, notamment dans les TPE et PME. Mais pour cela, il faut d’abord développer l’acculturation aux risques : un quart de ces acteurs considèrent encore qu’ils ne sont pas vulnérables à une attaque cyber. Nous faisons six propositions concrètes pour lutter contre ce risque, parmi lesquelles beaucoup sont liées à la sensibilisation de tous les acteurs.

Les assureurs ne doivent-ils pas aussi se remettre en question ?

En matière de risque cyber, la mutualisation ne peut pas produire pleinement ses effets sans que des mesures de prévention et de protection aient été prises. L’assurance cyber reste un marché de niche avec 219 millions d’euros de primes en 2021. Pour autant, il faut agir. Par exemple, nous avons noué un partenariat avec la Gendarmerie nationale et Agea (réseau d’agents d’assurance) en septembre dernier afin de mieux sensibiliser les TPE et PME. Nous sommes aussi membre fondateur du site cybermalveillance.gouv.fr, qui a vu sa fréquentation doubler, pour atteindre 2,5 millions de visiteurs en 2021. Nous avons également publié en début d’année dernière un guide pour anticiper et limiter les conséquences d’une attaque cyber.

Est-il réellement possible de trouver un chemin permettant « de protéger sans inciter » sur le remboursement des cyber-rançons ?

Accuser les assureurs d’inciter des cyber-malfaiteurs à agir me surprend toujours. Faisons la comparaison avec l’assurance contre le vol : cela reviendrait à dire qu’à chaque fois que l’on indemnise un cambriolage, on incite les cambrioleurs à récidiver. Cette accusation n’a pas de sens. Nous soutenons la proposition du gouvernement, insérée dans le projet de loi d’orientation et de programmation du ministère de l’Intérieur (Lopmi), qui s’inspire du rapport du Haut Comité juridique de la place financière de Paris, de conditionner l’indemnisation du paiement des cyber-rançons au dépôt d’une plainte sous 48 heures. Ce n’est qu’en dernier recours que l’entreprise ou l’organisation victime prend la décision de payer la rançon. Cette décision relève de la seule victime, parfois confrontée à une situation de survie économique ou de mise en danger de personnes.

La domination du cloud par des acteurs extra-européens est-elle une menace pour les assureurs ?

Le partage des données est un véritable sujet de souveraineté. La présidence de l’Union européenne et Joe Biden ont ainsi annoncé tout récemment avoir trouvé un accord concernant les flux de données transatlantiques. Le précédent accord, qui autorisait le transfert des deux côtés de l’Atlantique, a été cassé par la Cour de justice de l’Union européenne car il contrevenait au Règlement général sur la protection des données (RGPD). Pas moins de 90 % des données présentes dans le cloud sont hébergées aux Etats-Unis. Cette technologie est centrale dans la capacité des entreprises, et notamment des assureurs, à stocker et exploiter de façon agile et sécurisée les données. Dans cette logique, nous soutenons la création du label « cloud de confiance ».

Les assureurs aussi doivent se protéger du risque cyber. Le superviseur a récemment appelé à la création d’une cinquième fonction clé au sein du conseil d’administration des assureurs dédiée au sujet,
est-ce une bonne idée ?

Cette proposition me laisse perplexe. Je veux rappeler que le risque réglementaire se classe à la quatrième place de notre dernière cartographie des risques. Le développement de la réglementation, dans toute ses dimensions, devient un fardeau administratif tel que les assureurs ne peuvent pas capter toutes les évolutions réglementaires. Je ne suis pas sûre que créer une cinquième fonction clé suffise à régler la question.

Propos recueillis par Bertrand de Meyer