Ce site est une archive.
Il reflète uniquement l'activité des sénateurs sur la période d'octobre 2004 à mars 2023.
Intervention de Christophe Delcamp
Commission des finances, du contrôle budgétaire et des comptes économiques de la nation — Réunion du 15 mai 2019 à 10h55
Risque cyber dans les domaines économique et financier — Audition commune de Mm. Alain Bouillé président du cesin christophe delcamp directeur-adjoint assurance de dommages et responsabilité de la ffa bertrand peyret secrétaire général adjoint de l'acpr et guillaume poupard directeur général de l'anssi
Aux termes du RGPD, les entreprises qui ne respecteraient pas la confidentialité des données peuvent être sanctionnées par des amendes. Ce sujet nous concerne car il n'y a pas encore de clarification sur l'assurabilité de ce risque émergent. Il faudra donc être clair sur ce point : une entreprise qui ne respecte pas la protection des données prévue par le RGPD et sanctionnée à ce titre peut-elle être assurée pour rembourser l'amende infligée en conséquence ? Nous souhaitons faire trancher cette question. Ceci est un point clé pour le bon développement du risque cyber, surtout que nous sommes en phase de décollage en la matière.
Sur la coordination générale, j'ai évoqué tout à l'heure le site www.cybermalveillance.gouv.fr, qui travaille très bien. Je souhaite que cela devienne l'observatoire des risques cyber pour consolider les informations et voir si l'on peut envoyer des alertes sur ces nouveaux risques.
Les secteurs les plus attaqués sont au nombre de trois : les secteurs financier, pharmaceutique, et des services en réseaux. En termes d'assurance, la question est de savoir comment avoir une meilleure visibilité et une meilleure protection. On mène un travail sur les garanties, on peut être couvert par une garantie d'assurance cyber, par une garantie d'assurance traditionnelle de dommage au bien, ou encore par une assurance responsabilité civile. Il faut donc avoir une clarification du sujet.
Sur l'ordre de grandeur de ce risque aux États-Unis, le régulateur américain des banques mène également des enquêtes relatives à ce risque et impose un mécanisme de déclaration de ce risque aux entreprises d'assurance. Un tel reporting pourrait être utile en France car il offre, aux États-Unis, une vision claire des primes et des sinistres.
Enfin, s'agissant de la « ré-humanisation » de certains dossiers, cette dernière ne doit subsister que pour quelques procédures bien identifiées pour les assureurs. La directive sur la sécurité des réseaux et des systèmes d'information (directive NIS) qualifie certains opérateurs d'opérateurs de services essentiels. En tant que tels, leur travail de cartographie des risques doit les conduire à identifier les procédures les plus à risque.
