Risques cybernétiques

Le 9 octobre 2018, Insurance Europe (la Fédération européenne des assureurs), FERMA (la Fédération européenne des associations nationales de gestion de risque) et le BIPAR ont préparé ensemble une brochure appelée Preparing for Cyber Insurance (se préparer à la cyberassurance) sur la gestion de risque et les potentielles solutions assurantielles aux risques cybernétiques. Plus à ce sujet ici.

Historique

En septembre 2017, la Commission européenne a adopté un ensemble de mesures sur la cybersécurité, introduisant de nouvelles initiatives visant à améliorer la cyber-résilience, la dissuasion et la défense de l'UE. Ces mesures incluaient également la création d’une Agence européenne de cybersécurité basée sur l’actuelle Agence européenne pour la sécurité des réseaux et de l'information (ENISA) ainsi que la mise en place d’un cadre de certification volontaire à l’échelle de l’UE pour garantir que les produits et les services répondent à toutes les exigences de cybersécurité.

Mariya Gabriel, Commissaire pour l'Economie et la Société numériques, a déclaré : "Nous devons renforcer la confiance des citoyens et des entreprises dans l'environnement numérique, notamment dans une période où les cyber-attaques de grande envergure sont de plus en plus fréquentes. Mon souhait est que des normes de cybersécurité élevées confèrent un nouvel avantage concurrentiel à nos entreprises."

Règlement et Agence UE sur la cybersécurité

La Commission européenne, le Parlement européen et le Conseil de l'UE sont parvenus début 2019 à un accord sur le texte final du Règlement sur la cybersécurité.Ce Règlement sera publié au Journal officiel de l’UE prochainement et entrera en vigueur 20 jours après sa publication.

Le Règlement établit des schémas européens de certification de cybersécurité pour des processus TIC, produits TIC et services TIC (technologies de l'information et de la communication) spécifiques et transforme l'actuelle ENISA en une agence permanente de l'UE pour la cybersécurité. Les schémas européens de certification de cybersécurité visent à contribuer à l'harmonisation au sein de l’Union des pratiques en matière de cybersécurité afin d’accroître la sécurité contre les menaces cybernétiques.

Quels sont les point clés du Règlement ?

  • Les schémas de certification européens seront adoptés par la Commission et mis en œuvre et supervisés par les autorités nationales de certification en matière de cybersécurité. La certification sera volontaire, sauf indication contraire dans la législation de l'UE ou des Etats membres.
  • Les certificats délivrés dans le cadre de ces schémas attesteront qu'un produit TIC/service TIC/processus TIC donné est conforme aux exigences de sécurité spécifiques et seront valables dans tous les pays de l'UE. Les schémas de certification devront reposer sur des éléments déjà existants au niveau international, européen et national.
  • Chaque certificat européen de cybersécurité peut se référer à l'un des trois niveaux d'assurance différents : "élémentaire", "substantiel" et "élevé". Les niveaux d'assurance prévoient la rigueur et l'ampleur correspondantes de l'évaluation du produit TIC, du service TIC ou du processus TIC (le niveau d’évaluation, pas la sécurité du produit concerné) et sont déterminés par référence aux spécifications techniques, normes et procédures qui y sont liées, y compris les contrôles techniques, dont l'objectif est de limiter les incidents ou de les prévenir.
  • Les fabricants ou les prestataires de services sont autorisés à effectuer eux-mêmes des évaluations de conformité mais la déclaration de conformité UE (au lieu du certificat) ne peut se référer qu’au niveau d’assurance « élémentaire ».

En outre, l’ENISA sera un centre d'expertise sur la cybersécurité et disposera de davantage de ressources humaines et financières.Elle soutiendra la politique de l'UE en matière de cybersécurité et jouera un rôle central dans l'établissement et le maintien de schémas de certification avec l'assistance d'experts et l'étroite coopération des autorités nationales de certification et de l'industrie.Elle mettra sur pied un site web d'information sur les certificats et organisera régulièrement des exercices de cybersécurité au niveau de l'UE, y compris un exercice global à grande échelle tous les deux ans.

Autres initiatives en matière de cybersécurité

Les tâches de l'ENISA seront complétées par le nouveau Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité, dont les activités ne devront pas faire double emploi avec celles de l'ENISA. La proposition de la Commission, adoptée en septembre 2018, prévoit que l'objectif de ce centre sera d'établir une base de connaissances de pointe pour la cybersécurité. Il aura pour mission de renforcer la coordination de la recherche et de l'innovation dans le domaine de la cybersécurité. Il constituera également le principal instrument de l'UE pour mettre en commun les investissements dans la recherche, les technologies et le développement industriel en matière de cybersécurité.

Le Centre sera établi pour la période allant du 1er janvier 2021 au 31 décembre 2029. Il sera ensuite supprimé, sauf décision contraire.

La création d'un Réseau des compétences en cybersécurité est envisagée en tant que mesure supplémentaire pour renforcer les capacités de l'UE en matière de cybersécurité.Ce Réseau sera composé de centres nationaux de coordination désignés par les Etats membres. Les centres nationaux possèderont ou auront accès à l'expertise technologique en matière de cybersécurité, notamment dans des domaines tels que la cryptographie, la détection d'intrusion ou les aspects humains de la sécurité.

Une troisième structure sera également établie, à savoir la communauté des compétences en matière de cybersécurité, qui réunira les principales parties prenantes (notamment l'industrie, les milieux universitaires et les organisations de recherche, les entités publiques) afin d'améliorer et de diffuser l'expertise en matière de cybersécurité dans toute l'UE.

Le Parlement et le Conseil ont adopté leurs positions officielles concernant la création de ces centres et sont maintenant prêts à entamer les négociations sur le texte final (phase de trilogue).

Avis des AES sur les coûts et avantages d'un cadre cohérent de test de la cyber-résilience

Dans le prolongement du Plan d'action FinTech de mars 2018 de la Commission européenne, les AES ont publié en avril 2019 un avis conjoint sur les coûts et les avantages d'un cadre cohérent de test de la cyber-résilience pour les principaux acteurs du marché et infrastructures du secteur financier européen.

Les AES voient clairement les avantages d'un tel cadre. Toutefois, l'évaluation des AES a démontré l'existence d'une fragmentation dans le champ d'application, la granularité et la spécificité des dispositions relatives aux TIC et à la sécurité/cybersécurité dans la législation européenne sur les services financiers.Les AES ont recommandé à la Commission de se concentrer dans un premier temps sur un niveau minimum de cyber-résilience dans l'ensemble des secteurs, proportionnel aux besoins et aux caractéristiques des entités concernées. En outre, les AES proposent d'établir, sur une base volontaire, un cadre d'essai cohérent à l'échelle de l'UE avec d'autres autorités compétentes, en tenant compte des initiatives existantes et en mettant l'accent sur les tests de pénétration fondés sur les menaces. A long terme, les AES visent à assurer un niveau suffisant de cyber-maturité des entités intersectorielles identifiées.

Consultation de la Commission sur la résilience numérique pour les services financiers et les crypto-actifs

Le 19 décembre 2019, la Commission européenne a lancé deux consultations publiques :

Etant donné que le secteur financier est le plus grand utilisateur de technologies de l'information et des communications (TIC) au monde et que cette dépendance va encore s'accroître avec l'utilisation croissante de modèles, concepts ou technologies émergents, la résilience opérationnelle - et la cyberrésistance - du secteur dépend dans une large mesure des TIC, car il peut devenir vulnérable aux cyberattaques.Les crypto-actifs sont l’une des principales applications de la technologie de la chaîne de blocs dans le secteur financier. Ils sont généralement définis comme un type d’actifs privés dont la valeur inhérente dépend essentiellement de la cryptographie et de la technologie des registres distribués.

L'objectif de la consultation sur la résilience opérationnelle numérique, à laquelle le BIPAR a contribué, est d'informer la Commission sur l'élaboration d'un éventuel cadre de résilience opérationnelle numérique transsectoriel de l'UE dans le domaine des services financiers. La Commission travaille actuellement à la présentation d'une proposition législative au troisième trimestre 2020, afin de renforcer la résilience numérique opérationnelle des entités du secteur financier de l'UE. Elle envisage de rationaliser et d'améliorer les règles existantes et d'introduire de nouvelles exigences là où il y a des lacunes.

La consultation sur les crypto-actifs vise à alimenter les travaux en cours de la Commission à cet égard : i) pour les crypto-actifs qui sont couverts par les règles de l'UE parce qu’ils sont assimilables à des instruments financiers en vertu de la MiFID II – ou à de la monnaie électronique en vertu de la Directive sur la monnaie électronique (DME), la Commission examinera la législation de l’Union afin de déterminer si elle pouvait effectivement leur être appliquée. ii) Pour les crypto-actifs qui ne sont actuellement pas couverts par la législation de l’Union, la Commission envisage l’adoption éventuelle d'une approche réglementaire commune proportionnée, au niveau de l’Union.

Le BIPAR a également participé au webinaire organisé par la Commission (DG FISMA) le 19 mai 2020 dans le cadre de la consultation sur la résilience opérationnelle numérique pour les services financiers et de la stratégie de financement numérique en général.

La cyberassurance et EIOPA

EIOPA a publié en août 2018 son rapport intitulé « Comprendre la cyberassurance - Un dialogue structuré avec les compagnies d’assurance », qui fournit des informations - basées sur une enquête menée auprès de groupes d'assurance et de réassurance - sur le fonctionnement, le potentiel de croissance, les défis et les risques liés à la cyberassurance en Europe compte tenu de l'importance croissante de celle-ci dans les portefeuilles des (ré)assureurs. EIOPA explique que le risque cybernétique est une préoccupation croissante pour les institutions, les particuliers et les marchés financiers. Le nombre croissant d'incidents informatiques, la poursuite de la transformation numérique et les nouvelles initiatives réglementaires dans l'UE devraient sensibiliser et stimuler la demande en matière de cyberassurance.Voici les conclusions du rapport en bref :

  • il est nécessaire de mieux comprendre le risque cybernétique, tant du côté de l'offre que de la demande, afin de permettre à l’industrie européenne de la cyberassurance de se développer davantage. Cela concerne non seulement l'évaluation et le traitement des risques dans les nouvelles propositions de cyberassurance, mais aussi la compréhension des besoins propres des clients.
  • En termes de produits et services, la couverture est principalement axée autour des activités commerciales. Toutefois, l'intérêt pour la cyberassurance pour les particuliers augmente à mesure que des technologies telles que l'Internet des objets se développent et que les consommateurs sont de plus en plus exposés à la contrefaçon des services numériques.
  • Le manque de souscripteurs spécialisés, de données et d'outils quantitatifs constitue un obstacle majeur au développement de l'industrie et à la mise en place d'une couverture adéquate de l'économie.
  • La réglementation pourrait être accueillie avec une certaine modération par l'industrie, car elle pourrait contribuer à relever certains des défis identifiés, malgré la nécessité de se conformer à la Directive Solvabilité II.

Dans le prolongement du dialogue avec l'industrie de l'assurance qui a abouti à ce rapport d’EIOPA, EIOPA a organisé en avril 2019 un atelier sur la cyberassurance auquel le BIPAR a participé. Plus de 100 représentants de l'industrie, des consommateurs, des organismes de réglementation, des groupes de réflexion et d'autres parties intéressées y ont également pris part. Les messages clés issus de la discussion sont les suivants :

  • Il est clair qu'il est nécessaire de s'attaquer au risque cybernétique silencieux dans les politiques traditionnelles et d'éliminer l'incertitude contractuelle.
  • Les régulateurs pourraient agir en tant que facilitateurs en établissant des normes claires sur la cybersécurité et le risque cybernétique, alignées sur les besoins des PME, et contribuer à la sensibilisation.
  • Il conviendrait d'envisager la création d'une base de données "cyber" contenant des données anonymes sur les incidents cybernétiques, fondée sur des définitions communes afin de faciliter la collecte et le partage des données.

En outre, en septembre 2019, EIOPA a publié son rapport sur "Les risques cybernétiques pour les assureurs - défis et opportunités". Le rapport indique que les assureurs jouent un rôle clé dans la transformation de l'économie numérique. L'utilisation accrue des grandes données et du cloud rend les assureurs de plus en plus sensibles aux cybermenaces, compte tenu de la quantité d'informations confidentielles sur les assurés dont disposent les assureurs. Le rapport a identifié les cyber-menaces les plus courantes auxquelles les assureurs sont confrontés et a conclu qu'un ensemble commun de définitions des risques cybernétiques renforcerait la cyber-résistance du secteur de l'assurance. D'autres actions pourraient consister à rationaliser les cadres de notification des incidents informatiques en créant une base de données à l'échelle de l'UE.

Suite à ces conclusions, EIOPA a publié en février 2020 sa stratégie sur l’assurance du cyber-risque qui présente ses priorités stratégiques concernant le marché européen de la cyber-assurance.Parmi les priorités d'EIOPA figurent entre autres :

  • La question de la cyber-couverture affirmative - non affirmative,
  • La compréhension des définitions, conditions et termes contractuels,
  • Les données et rapports d'incidents concernant les cyber-risques,
  • Le cyber comme risque systémique,
  • Une souscription appropriée et des rapports aux autorités de surveillance,
  • Le cyber en tant que secteur d'activité distinct,
  • La taxonomie des cyber-risques,
  • Le suivi de la recommandation d'ENISA concernant la couverture minimale,
  • Le rôle d'EIOPA en tant que facilitateur et catalyseur.

Le BIPAR suit l'évolution de la cybersécurité et de la cyberassurance au niveau de l'UE. L'augmentation de la numérisation dans notre secteur accroît l'ampleur des attaques cybernétiques et leur impact, et le fait que les PME sont de plus en plus exposées aux risques cybernétiques rend nécessaire l'adoption de bonnes pratiques en matière de cybersécurité. Les intermédiaires d'assurance ont un rôle important à jouer à cet égard.

En octobre 2018, le BIPAR a préparé avec Insurance Europe (la Fédération européenne des assureurs) et FERMA (la Fédération européenne des gestionnaires de risques) la brochure "Preparing for cyber insurance" (Se préparer à la cyberassurance) dans le but de sensibiliser le public à la gestion des risques et aux solutions d'assurance possibles pour les risques cybernétiques.



- Publié en juin 2020 -

Trouver un intermédiaire près de chez vous ?Cliquez ici