Les risques cybernétiques tels que le piratage et les violations de données représentent une source croissante d’inquiétudes pour les entreprises, au vu d’une fréquence accrue et d’une sévérité de plus en plus marquée, comme l’attestent les mésaventures de Home Depot, Target, Sony, JPMorgan Chase, Citibank, Anthem et Premera Blue-Cross.
Les entreprises pouvant être ciblées par ces attaques rencontrent un certain nombre de difficultés. En effet, elles peinent à mesurer le niveau de couverture nécessaire, se heurtent à une hétérogénéité des contrats (la définition des évènements déclenchant l’indemnisation étant variée) et font face à l’essor rapide des objets connectés dont l’usage accroît la vulnérabilité des systèmes. Chaque secteur présentant des exigences différentes et des risques singuliers, les entreprises doivent s’interroger sur ce qu’il est primordial de protéger. Enfin, ces évolutions entrainent aussi des enjeux de protection de la vie privée.
Pour l’heure, le marché de l’assurance des risques cybernétiques en est à ses balbutiements. Même les grands assureurs ne se positionnent sur ce segment qu’avec précaution, proposant des couvertures limitées assorties d’une pléthore d’exclusions telles que les dommages causés aux données hébergées par un prestataire externe.
L’assurance des risques cybernétiques est souscrite sur la base des sinistres déclarés et couvre principalement la responsabilité civile pour des capacités inférieures à 500 millions dollars. Environ 90% des primes couvrent des risques situés aux États Unis. Les couvertures prévoyant l’indemnisation des coûts d’investigation et de sécurisation des sites, ainsi que de certaines pertes économiques résultant des sinistres, ne sont que rarement disponibles. Ces précautions ont partiellement atténué les inquiétudes de S&P Global Ratings vis-à-vis des assureurs couvrant ce type de risques. On note cependant que l’appétit de souscription des assureurs a significativement augmenté au cours des dernières années.
Le marché de l’assurance des risques cybernétiques pourrait ainsi connaître une croissance exponentielle dans les cinq prochaines années et les compagnies d’assurance se veulent à l’avant-garde de la gestion de ces risques. En effet, une étape supplémentaire pourra consister à apporter des services pré- et post-incidents en plus de la couverture du risque.
Simon Virmaux
Analyste junior chez S&P Global Ratings
