CHRONIQUE – Alors que la pandémie de COVID-19 accélère significativement la transformation numérique de nombreuses organisations, le risque de cyber-attaques augmente inévitablement.
Comme la sophistication de ces attaques s’est considérablement accrue ces dernières années, le coût associé peut désormais être très important (les dommages estimés pour les attaques des ransomware WannaCry et NotPeya s’élèvent respectivement à 4 et 10 milliards de dollars). Pour les entreprises, un cyber-incident peut entraîner, entre autres, une interruption des activités, le paiement d’une rançon, une altération de leur réputation et une amende de la part de l’autorité de régulation. Cela signifie que la cyber-sécurité, l’informatique dématérialisée et la protection des données doivent être la priorité des entreprises, et les sociétés d’assurance peuvent contribuer efficacement à la gestion des risques informatiques.
Jusqu’à présent, les pertes cybernétiques couvertes par de contrats d’assurance ne s’élèvent qu’à environ 5 milliards de dollars, alors que le coût économique annuel de la cybercriminalité est estimé à plus de 700 milliards de dollars. En comparaison, les pertes économiques totales dues aux catastrophes naturelles et d’origine humaine en 2019 s’élevaient à environ 140 milliards de dollars, dont 56 milliards de dollars assurés, selon Swiss Re. Ces chiffres montrent le potentiel inexploité du marché de la cyber-assurance, activité qui constituera dans la décennie à venir l’un des principaux moteurs de croissance pour les assureurs des marchés développés, où les branches traditionnelles, telles que l’assurance automobile ou habitation, sont largement saturées. En particulier, nous prévoyons que les primes de cyber-assurance augmenteront de 20 à 30 % par an en moyenne dans le futur proche (à partir des 5 milliards de dollars actuels), poussés notamment par la demande des petites et moyennes entreprises.
Cela dit, le décollage effectif du marché dépendra de la manière dont les assureurs relèveront les défis qui y sont associés. Le risque principal est celui d’accumulation : alors qu’une catastrophe naturelle grave est limitée à une certaine région, les cyber-risques peuvent facilement se propager à travers le monde en quelques secondes, exposant un assureur à des pertes financières extrêmement élevées. Un autre défi concerne les cyber-risques silencieux, qui ne sont ni inclus ni exclus explicitement dans les polices d’assurance, ce qui peut entraîner des litiges et des réclamations imprévues encore mal pris en compte dans la tarification. En outre, la détermination des primes est rendue encore plus difficile par la sophistication croissante de la cyber-criminalité et sa nature dynamique, qui peut rendre les données historiques inaptes à prévoir l’évolution future des risques. Cela rend la souscription d’une cyber-assurance plus complexe que la couverture d’assurance classique, et les cyber-assureurs doivent mettre au point les bons modèles pour encourager la croissance de la demande à un coût économique raisonnable.
À notre avis, la cyber-assurance doit offrir plus qu’une simple compensation pour une perte financière potentiellement importante. Les assureurs peuvent apporter une valeur ajoutée en fournissant des services d’assistance et en aidant les assurés à mieux gérer les cyber-risques, tout en orchestrant la mise en place d’un écosystème d’expertise interne et externe pour prévenir et enquêter sur toute attaque possible. De cette manière, ils joueront alors un rôle important dans l’amélioration de la cyber-résistance.
Eugenio Manzoli
Analyste Crédit, S&P Global Ratings
