Risques cybernétiques : parlons des expositions “silencieuses”

Ordinateur

CHRONIQUE – Le potentiel de croissance de l’assurance cybernétique est colossal.

Le nombre des cyber-attaques explose. En 2020, les attaques se sont également sophistiquées à la faveur du contexte sociétal lié à la pandémie, faisant évoluer la nature des risques cybernétiques et multipliant les pertes financières par six pour les victimes selon le rapport Hiscox Cyber Readiness 2020. Pourtant, la couverture de ces risques par le marché de l’assurance reste sous-développée, avec seulement 26% des entreprises considérées dans ce rapport ayant souscrit une police d’assurance dédiée. Les entreprises se reposent le plus souvent sur les garanties standards de leurs contrats (prévues pour d’autres risques).

Cependant, à ce jour, la majorité de ces polices génériques n’incluent ni n’excluent explicitement la couverture des risques cybernétiques, ce qui laisse les assureurs avec des expositions dites ‘silencieuses’, c’est-à-dire un risque de devoir payer pour de potentiels sinistres liés à une attaque cybernétique sans que ceux-ci ne soient explicitement pris en compte dans le calcul technique de la tarification. Même l’inclusion ou l’exclusion des risques cybernétiques prête parfois à interprétation ; et la (non)-couverture des pertes d’exploitation selon la rédaction des contrats a mis en exergue les risques de réputation pour les assureurs au cours de la pandémie. D’où le potentiel de croissance de ce marché.

Les litiges juridiques en cours entre Mondelez et l’assureur Zurich illustrent les conséquences pouvant résulter d’imprécisions dans la rédaction des contrats lorsque la couverture cybernétique fait partie d’autres polices d’assurance. Dans ce cas spécifique, Mondelez possède une couverture dommages tous risques, qui inclut les pertes physiques ou dommages subis sur des données électroniques. Le groupe a été victime d’une attaque de rançonnage « NotPetya » en juin 2017 et demande à être indemnisé par Zurich, lequel refuse au motif que la rédaction du contrat n’inclut pas « les actes hostiles ou de guerre ». Affaire à suivre, donc, qui établira probablement un précédent mais, pour le moment, ralentit le développement du marché.

Le développement des produits d’assurance dédiés aux risques cybernétiques permettrait de réduire ces risques ‘silencieux’. En effet, ces produits spécifiques offrent un meilleur contrôle des risques accumulés et permettent une centralisation et une coordination des données. Ils vont de pair avec le regroupement d’expertises au sein de l’entreprise d’assurance et facilitent les mesures de prévention. Enfin, ils améliorent la stratégie d’achat de couverture de réassurance. Ces éléments sont d’autant plus pertinents s’ils sont associés à un centre d’excellence cybernétique qui permet de soutenir le développement de produits adéquats en termes de couverture et d’équilibre technique.

Les assureurs les plus sophistiqués en termes de gestion des risques et ceux investissant dans l’expertise cybernétique sont les mieux placés pour bénéficier de l’opportunité que représente ce marché.

Simon Virmaux, CFA
Analyste Senior

Que pensez-vous du sujet ?