Chronique : Menace Cyber sur les réassureurs mondiaux !

Risque cyber

Les pertes économiques et les pertes assurées dues à la cybercriminalité augmentent. Par ailleurs, une exposition non explicite, dite ‘silencieuse’, existe dans de nombreuses polices traditionnelles d’assurance et de réassurance.

Notre environnement est de plus en plus virtuellement interconnecté et les risques de cyberattaques s’accroissent pour chaque assuré. D’ailleurs, les exemples récents ne manquent pas : WannaCry et NotPetya en 2017 avaient notamment attiré l’attention de nombreux observateurs, et causé des pertes économiques estimées entre 4 et 10 milliards de dollars.

Si assureurs et réassureurs ne procèdent pas à un passage en revue détaillé de leurs expositions pour identifier ce type de risques, les pertes pourraient devenir substantielles et créer de la volatilité au niveau des résultats, voire des capitaux propres, et ceci dans un futur proche. Pour le moment cependant, les pertes assurées (explicites et non explicites) liées à ces risques restent minimales par rapport aux pertes économiques (environ 1% en 2018), ce qui dénote par ailleurs un déficit d’assurance considérable. Elles sont aussi minimes en proportion de l’ensemble des pertes liées aux risques traditionnels.

La menace cyber est donc aussi potentiellement source de croissance pour le secteur. Le marché mondial de l’assurance du risque cyber, émergent à ce jour, va continuer de croître plus rapidement que la majorité des lignes traditionnelles et pourrait atteindre 8 milliards de Dollars de primes en 2022, contre 5 milliards aujourd’hui.

Mais la souscription de risques cybers n’a rien d’anodin. Plusieurs défis doivent être surmontés par les acteurs qui souhaitent souscrire ces risques. Tout d’abord, il existe peu de données historiques, ce qui limite les capacités de modélisation. De plus, à la différence des expositions aux catastrophes naturelles, l’origine des sinistres est humaine, et dans la plupart des cas, criminelle, ce qui réduit leur caractère aléatoire. Enfin, le risque de concentration est important car les attaques peuvent se dérouler à l’échelle mondiale, remettant ainsi en cause les bénéfices liés à la diversification.

S’ils parviennent à élaborer un cadre de souscription du risque cyber suffisamment robuste et s’appuyant à la fois sur une modélisation plus fiable mais aussi sur une gestion approfondie des risques d’accumulation, les réassureurs sont bien placés pour développer cette ligne d’activité de manière rentable. Ils seront en effet à même de jouer un rôle plus large que celui de porteur de risques en proposant une myriade de services que certains acteurs de taille moindre ne peuvent proposer ou développer en interne : prévention, intervention post-attaque, mise en relation avec des acteurs spécialisés…

Simon Virmaux
Analyste crédit S&P Global Ratings