L’assurance, élément clé de la cyber-résilience

Si elle crée de nombreuses opportunités, la transformation numérique de nos économies génère aussi des cyber-risques omniprésents. En 2017 déjà, l’OCDE considérait que le domaine de l’assurance avait un rôle clé à jouer dans le renforcement de la cyber-résilience et l’amélioration de la gestion des cyber-risques[1]. Parallèlement, partout dans le monde, les populations sont de plus en plus sensibilisées à ce genre de risques, du fait de l’augmentation du nombre de cyber-attaques durant la crise de Covid-19, notamment à l’encontre d’infrastructures plus fragilisées que d’habitude, comme les hôpitaux.

Quels sont les défis de la cyber-assurance?

Jusqu’à présent, les cyber-technologies utilisant internet reposaient en premier lieu sur le principe d’innovation plus que sur celui de sécurité. Par conséquent, une grande partie des vulnérabilités auxquelles sont exposés les entreprises et les gouvernements ne sont pas pleinement assurées aujourd’hui. Même si ce chiffre est en pleine évolution, le nombre de gouvernements et d’entreprises ayant souscrit une cyber-assurance reste relativement faible à travers le monde et les pertes financières liées à la cyber-criminalité sont, dans leur grande majorité, non assurées.

En effet, la cyber-assurance sucite de nombreux challenges. Tout d’abord, le secteur de l’assurance repose sur la reconnaissance des modèles dans les données pour être en mesure de fixer le prix d’un produit. En ce qui concerne les catastrophes naturelles, par exemple, nous disposons de tout un historique de données météorologiques permettant de prévoir les conséquences d’un ouragan ou d’un tsunami, alors que nous possédons à peine 10 à 12 ans de données pour ce qui est de la cyber-assurance. Ce qui rend l’analyse des risques plus complexe encore, c’est le fait que la menace est d’origine humaine et qu’elle évolue constamment ; il existe par ailleurs une importante stratification de technologies connectées et interconnectées, chacune possédant ses propres spécificités, comme le software, le hardware, l’IoT, le contrôle à distance, etc.

En outre, la modélisation de l’accumulation dans le domaine cybernétique en est encore à ses balbutiements. Nous disposons de quelques modèles et scénarios réalistes en cas de catastrophe, mais ils ne datent que de quelques années et ne tiennent pas encore pleinement compte du potentiel changement de comportement des acteurs de la menace. De plus, les risques plus traditionnels comme les incendies, les explosions et les autres types de dommages matériels résultant d’un événement cybernétique ne sont pas encore modélisés dans ce domaine. Nous ne sommes encore qu’à l’aube de l’ère de la modélisation

Le manque de données suffisantes et les complexités de la modélisation génèrent une certaine incertitude. Si cela représente une réelle opportunité pour le secteur de l’assurance, on constate toutefois la nécessité de réunir des experts de la cyber-sécurité et de l’assurance pour évaluer les situations critiques et analyser la maturité cybernétique des entreprises recherchant une couverture d’assurance.

Quelles sont les principales tendances dans le développement de la cyber-assurance?

La véritable nouveauté de l’année 2021, c’est l’impact démesuré des cas de ransomwares et les lourdes pertes qu’ont entraînées ces logiciels malveillants. Un phénomène qui a fortement limité l’intérêt du secteur de l’assurance pour ce genre de risques. Le comportement des assureurs, à ce stade, est encore purement réactionnel.  

Une autre tendance significative est le passage des polices “silencieuses” aux polices “affirmatives”, ces dernières consistant à se montrer plus explicite sur les éléments qu’elles incluent. AXA XL a franchi le pas en 2019, suivi par la Lloyds qui a rendu obligatoire pour les assureurs le fait de se montrer explicites dans leurs polices et leur a laissé 24 mois pour mettre en place leurs nouveaux formulaires ; aujourd’hui, certains membres de la communauté de la réassurance demandent à leurs clients si leurs polices sont silencieuses ou affirmatives. Une mouvance qui devrait, selon moi, influencer le comportement du secteur de l’assurance dans tous ses domaines d’activité d’ici un an ou deux, avec un impact non seulement sur les produits cybernétiques eux-mêmes, mais aussi sur ceux pour lesquels la cybernétique représente, d’une manière ou d’une autre, un danger dans certaines branches d’activité, comme les biens ou la responsabilité civile.

On assiste enfin, dans le monde entier, à une prise de conscience croissante des risques et des pertes liés à la cyber-criminalité. Les petites entreprises vont commencer à souscrire des polices d’assurance distinctes couvrant les cyber-risques, avec des limites plus élevées, plutôt que des formules dans lesquelles ces risques sont partiellement pris en compte.

Cependant, le développement de ce secteur est encore entravé par le déséquilibre entre l’offre et la demande. A l’échelle du monde, les compagnies d’assurances ne sont pas encore assez nombreuses pour couvrir les cyber-risques, en raison notamment d’une peur de l’inconnu concernant le changement de comportement des acteurs de la menace. En outre, l’accès à l’expertise, dans ce domaine, est assez limité en matière de souscription et de risques. On constate également un réel manque de maturité sur ces questions de la part des parties prenantes, qu’il s’agisse des agents ou des courtiers, qui sont en quelque sorte les conseillers des entreprises, en dépit de l’engagement désormais très ferme de l’ensemble de la communauté cybernétique en faveur d’une meilleure cyber-éducation et d’une sensibilisation accrue des intermédiaires.

Que doivent savoir les conseils d’administration au sujet des cyber-risques?

Il y a une autre limite au développement du secteur de la cyber-assurance : c’est la prise de conscience et le niveau de maturité des conseils d’administration des entreprises concernant les cyber-risques, ainsi que leur décision d’assumer eux-mêmes ces risques en investissant dans la cyber-sécurité ou de les transférer à un assureur.  A ce niveau-là, les conseils d’administration des entreprises cotées en bourse ont tendance à se montrer plus matures que ceux des entreprises privées même si, comme dans d’autres domaines de la cybernétique, cette maturité reste relativement peu élevée.

On attend du conseil d’administration d’une entreprise cotée en bourse qu’il soit relativement bien informé sur les questions cybernétiques. Prenez un tabouret à trois pieds : il y a les normes et les cadres, il y a la gouvernance globale et il y a, enfin, l’évaluation du préjudice financier d’un risque non pris en charge. Les recherches menées sans but lucratif par le groupe Crossroad soulignent par exemple la nécessité d’identifier les circonstances exposant une organisation aux cyber-risques, en premier lieu au sein de l’organisation elle-même, pour pouvoir ensuite déterminer sa vulnérabilité face à ces risques[2]. Cette approche permet l’élaboration d’un programme d’action précisant les mesures à prendre pour gérer les cyber-risques et mettre en place les bons mécanismes de surveillance.

[1]Enhancing the Role of Insurance in Cyber Risk Management, OCDE, décembre 2017.

[2]Cybersecurity is at a Crossroads, Cyber Crossroads, mai 2021.

A propos de l'auteur

Libby Benet est Global Chief Underwriting Officer of Financial Lines chez AXA XL. Elle est également membre du Conseil de surveillance de S-RM, une société de conseil en matière de risque global et de renseignement, et fait partie du Conseil d’administration de la compagnie d’assurances Minnesota Lawyers Mutual, par le biais de l'Association internationale des professionnels de la protection de la vie privée. Licenciée en sciences politiques à la Towson University, Libby est aussi titulaire d’un diplôme de Juris Doctor délivré par la School of Law de l’université de Baltimore.