La dernière étude sigma de Swiss Re « Cyber : comment venir au bout d’un risque complexe ? » estime qu’un filet de sécurité public pourrait être judicieux pour certains risques cyber inassurables.
La dernière étude de Swiss Re consacrée au cyber-risque est catégorique : « les coûts d’une cyber attaque peuvent s’envoler bien au-delà de la gestion des répercussions de la perte ou de la corruption des données ». Une cyber-intrusion peut avoir des impacts négatifs sur la réputation, sur la propriété intellectuelle ainsi que sur d’éventuels dommages aux biens.
Au-delà d’un certain stade, l’ampleur potentielle des pertes de certains cyber-attaques pourrait dépasser la capacité de couverture du secteur privé de la l’assurance ou la réassurance, notamment pour certains sinistres en cascade, tels que « la perturbation généralisée d’infrastructures ou de réseaux critiques, pouvant engendrer des cumuls de dommages considérables », selon Swiss Re. Pour ces risques, « un filet de sécurité public (de type (ré)assureur en dernier ressort) pourrait être judicieux, via un mécanisme similaire à celui en place à l’initiative de l’Etat pour les risques de terrorisme », propose le réassureur.
Malgré les efforts des entreprises pour accroître la cyber-résiliance, ce risque est souvent sous-estimé. D’autant plus que la transformation digitale des entreprises et l’hyper-connectivité accentuent la vulnérabilité des entreprises.
La réglementation oblige les entreprises à renforcer la protection des données et pousse les sociétés à intégrer la cyber-sécurité dans les gestion des risques. Par conséquent, « les entreprises doivent investir davantage dans l’architecture de cyber-sécurité si elles veulent développer des capacités robustes de gestion des risques en amont et en aval du sinistre », précise Kurt Karl, économiste en chef de Swiss Re dans un communiqué.
Le marché de la cyber-assurance se développe, mais les couvertures sont encore modestes par rapport à l’exposition potentielle. En effet, la cyber-assurance fournit une protection des données et des réseaux et des pertes associées, avec des limites de capacité qui s’échelonnent entre environ 5M $ et 100M $. Mais, selon Swiss Re, « certains cyber risques importants restent non assurés, et l’ampleur de la couverture existante est modeste par rapport aux expositions globales des entreprises ».
Les limites de la couverture résident dans le fait que les cyber-risques sont complexes et difficiles à quantifier. En cause, l’évolution rapide de l’environnement technologique et le manque de recul historique. L’expérience des catastrophes naturelles permet de penser que les modèles seront améliorés en permanence, au fur et à mesure que des données de cyber-sinistralité seront disponibles.
Des initiatives sont en cours dans le secteur pour optimiser la collecte et la diffusion d’informations sur la menace. Par exemple, plusieurs fournisseurs d’outils d’aide à l’analyse des risques ont élaboré des standards communs pour permettre aux entreprises d’identifier, de quantifier et de rapporter leur cyber-exposition aux assureurs de façon harmonisée.
Par ailleurs, certains réassureurs tentent d’établir des partenariats avec des sociétés spécialisées dans la cyber-sécurité et des sociétés d’analyse de données afin de combler leurs lacunes de connaissances et de proposer des services plus complets ou additionnels à leurs clients.
Un autre alternative pour augmenter la capacité dédiée à l’offre cyber est la création de véhicules d’investissement destinés à faire supporter une partie des expositions par les investisseurs sur les marchés financiers. Quelques initiatives pour créer des titres assurantiels (ILS) en couverture de risques opérationnels tels que le cyber sont en cours. « Le marché des ILS pour les cyber-risques est encore naissant mais pourrait se développer », souligne Swiss Re.
