Nous évoluons dans l’ère de la révolution numérique, qui a vocation à se poursuivre voire à s’intensifier dans tous les secteurs d’activité et à révolutionner les modèles économiques et la vie quotidienne. La mise en place accélérée du télétravail par l’avènement de l’épidémie Covid-19 en est un exemple. La menace numérique, amplifiée par la mondialisation et l’interconnexion des divers acteurs et systèmes économiques, communément appelée menace cyber, accompagne inéluctablement cette croissance.
Les risques cyber consistent en une atteinte aux données et systèmes informatiques, due soit à une erreur, accident, perte ou omission, soit à une attaque ayant un but malveillant (cyber-attaque). Ils sont pourtant aujourd'hui malgré leur diversité et leur gravité probable, peu transférés à l'assurance. C’est notamment dû à leur nouveauté ainsi qu’à leur caractère systémique et évolutif. La nouveauté des risques cyber ne permet pas de disposer de base statistique de sinistralité fiable pour leur tarification. Le caractère potentiellement systémique contribue à la prudence des assureurs et réassureurs face à ces risques, d’autant qu’une attaque cyber n’a pas de limite dans l’espace. Le caractère évolutif nécessite que les assureurs soient prêts à revoir régulièrement les garanties et la tarification de ces risques.
Des garanties cyber disséminées dans les contrats traditionnels : les couvertures silencieuses cyber
Ce déficit de couverture d’assurance est préjudiciable pour les entreprises qui se trouvent démunies lorsqu’elles sont confrontées à une attaque cyber et sont dès lors amenées à rechercher des garanties dans leurs polices d’assurance existantes pour couvrir les dommages d’origine cyber.
Or, lors de la conclusion des contrats, et jusqu’à une date récente, les risques cyber étaient méconnus et donc ni pris en compte dans la tarification et les conditions générales, ni expressément exclus. Divers acteurs de l’assurance et médias dénomment ces garanties qui ne sont pas accordées de manière volontaire dans les contrats Couvertures silencieuses ou « non affirmatives », dans la mesure où leur octroi se présume du fait de la non-exclusion dans le contrat des risques cyber (définis et désignés comme tels).
De nombreux scénarios de dommages occasionnés à la suite d’une attaque cyber peuvent ainsi trouver une garantie dans un contrat Dommages aux biens (ou DAB, qui couvre les dommages subis par les biens ou le matériel professionnel en cas de survenance d’un sinistre garanti) ou Responsabilité civile (ou RC, qui garantit les conséquences pécuniaires encourues par l'assuré lorsque celui-ci cause un dommage matériel ou corporel à un tiers).
Soit par exemple le cas d’une entreprise de services informatiques qui subit une attaque cyber ayant pour effet de dérégler la climatisation de la pièce hébergeant les serveurs informatiques. Un incendie se déclenche, occasionnant des dégâts matériels. Le contrat DAB couvre généralement les dommages subis par les biens assurés et les pertes d’exploitation. Le déclenchement de la garantie est possible, dès lors que l’assuré déclare le sinistre à son assureur comme incendie, sans s’interroger sur l’existence de clause « cyber » dans les Polices souscrites.
Dans ce scénario en effet, si aucune clause d’exclusion clairement rédigée n’existe dans les conditions générales ou particulières, la garantie de l’assureur est acquise, non seulement pour l’indemnisation des dommages matériels directement liés à l’incendie, mais aussi des conséquences consécutives de cet événement, dont la perte d’exploitation (si cette garantie est prévue au contrat). Or, les contrats DAB sont souvent anciens et datent d’avant que la menace cyber ne soit connue. Ils ne prévoient donc que très rarement l’exclusion de ces risques.
Il en est de même dans les contrats RC. Soit un scénario où une grande Banque subit une attaque cyber consistant en un vol de données de ses clients. Ces derniers assignent la Banque en justice pour le préjudice subi par eux, du fait du vol de leurs données personnelles et bancaires. Ils peuvent même le faire par l’intermédiaire de l’action de groupe (class action) désormais autorisée en France. Les conséquences financières peuvent être considérables en termes d’indemnisation des clients et de frais de justice.
Les contrats de Responsabilité civile générale (RCG) couvrent les dommages, causés aux tiers, sous réserve qu’il y ait un lien de causalité entre le préjudice subi et le fait générateur, ce dernier pouvant être de toute nature, y compris cyber. Ils couvrent également les frais de défense et de recours de l’assuré lorsque ce dernier est la victime.
La Banque peut donc demander à son assureur de RCG l’indemnisation de tous les frais engendrés, puisque la grande majorité des contrats RCG ne comprennent qu’une seule exclusion liée au cyber, celle du virus informatique (et non le piratage des données), et couvrent « Tous risques sauf ».
Le constat reste le même lorsqu’on imagine des scénarios de risque cyber sur d’autres contrats traditionnels, tel que le contrat Fraude qui peut couvrir particulièrement bien un sinistre d’origine cyber puisque les pirates informatiques disposent de l’expertise nécessaire pour commettre des actes de malveillance.
Un contrat Perte d’exploitation sans dommages peut être impacté ainsi qu’un contrat Kidnap et rançon ou encore un contrat Responsabilité des dirigeants.
Du fait de la nouveauté du risque cyber et parfois du manque d’expertise dans les lignes traditionnelles, l’exposition des assureurs à ces risques « silencieux » a été longtemps sous-estimée.
La prise de conscience du risque engendré par les couvertures silencieuses cyber
Le 27 juin 2017, plusieurs entreprises dans le monde ont été prises pour cible par l’intermédiaire d’un logiciel malveillant (rançongiciel) nommé NotPetya réclamant une rançon en bitcoin.
L’attaque a paralysé plusieurs entreprises multinationales, dont l’armateur Danois Maersk, le laboratoire pharmaceutique Américain Merck, l’entreprise de construction française Saint-Gobain, le producteur alimentaire Mondelez ainsi que le grand cabinet d’avocats américain DLA Piper. Ces entreprises touchées ont subi des dommages dont les coûts sont considérables.
Certaines entreprises touchées par cette attaque avaient contracté une police spécifique cyber. C’est le cas par exemple de Merck qui a été indemnisé par cette police mais a cherché à compléter l’indemnisation de ses dommages en faisant valoir les couvertures de son contrat DAB. D’autres entreprises, comme Mondelez, n’avaient pas souscrit de contrat d’assurance spécifique cyber, et ont cherché à actionner directement leurs contrats DAB.
Dans les deux cas, les assureurs ont refusé de les indemniser invoquant diverses raisons non liées à la nature de l’événement déclencheur. Les entreprises concernées les ont donc assignés en justice pour obtenir l’indemnisation de leurs sinistres, au titre des polices DAB « traditionnelles ».
Plusieurs affaires sont en cours devant les tribunaux aux États-Unis pour des indemnisations à la suite d’incidents cyber, sur la base de contrats d’assurance courants DAB ou RC, initialement souscrits pour couvrir des risques bien connus et maîtrisés par les assureurs, comme l’incendie, le vol ou les dommages occasionnés aux tiers, dits contrats « traditionnels ».
Ces affaires ont provoqué une prise de conscience dans le monde de l’assurance de l’exposition des contrats traditionnels aux risques cyber.
De plus, cette exposition peut, selon l'Autorité réglementaire de l’assurance du Royaume-Uni (Prudential Regulation Authority – PRA) et des spécialistes du secteur, notamment David Gierski, directeur de l’activité Dommages au sein de Gras Savoye Willis Towers Watson, atteindre jusqu’à la totalité de la capacité du contrat.
Dissémination pénalisante pour les deux parties au contrat
Les couvertures silencieuses présentent de nombreuses difficultés pour les assureurs et pour la couverture effective des risques cyber pour les assurés. Elles sont par définition non tarifées, donc non payées et non quantifiées.
Les compagnies d’assurance n’ont pas prévu de montant de fonds propres en face de ces risques, leur ratio de solvabilité s’en trouve sous-estimé, ce qui peut mettre en péril la pérennité des compagnies d’assurance sur laquelle le régulateur veille attentivement. L’ACPR (Autorité de contrôle prudentiel et de résolution), Autorité réglementaire de l’assurance française, a prévenu les assureurs qu’elle serait attentive à ces risques et les a placés dans ses priorités de contrôle pour 2020.
Pour éviter de mettre en péril leur solvabilité, les assureurs peuvent refuser d’indemniser les clients, à l’instar des assureurs de Mondelez et de Merck. Cette approche provoque une perte de confiance chez le client et dégrade la réputation de l’assureur qui s’ajoute à la crise de confiance liée à la problématique d’indemnisation des pertes d’exploitation dues à la pandémie Covid-19. Il est aujourd’hui plus important que jamais de renouer les liens avec les clients et faire preuve de transparence dans les relations contractuelles.
Les agences de notation s’intéressent également aux couvertures silencieuses et à leur gestion par les assureurs. La notation pourrait se trouver dégradée s’ils n’entreprennent pas d’action pour délimiter leur exposition « silencieuse » aux risques cyber. La notation porte essentiellement sur la capacité des entreprises à faire face à leurs engagements ; elle constitue donc un élément important de la réputation d’un assureur. Le métier de ce dernier étant de récolter des primes pour pouvoir ensuite indemniser les victimes potentielles, tout doit être entrepris par lui et par le régulateur pour qu’il puisse y parvenir.
Les couvertures silencieuses cyber sont donc nuisibles à la santé financière, à la pérennité et à la réputation des assureurs, mais elles ne sont pas beaucoup plus profitables pour leurs clients.
En effet, la multitude de couvertures « cyber » dans les différents contrats crée de la confusion et de la complexité pour les assurés. Il n’est pas aisé pour les entreprises de « consolider » tous leurs contrats pour identifier les garanties cyber déjà existantes et la nécessité ou non de compléter ces garanties.
Cela pose un problème lorsqu’il s’agit pour l’assuré de déclarer un sinistre. L’assuré devra probablement mettre en œuvre différents contrats pour être indemnisé et peut se voir appliquer plusieurs franchises pour un même sinistre.
Aussi, un sinistre cyber d’intensité peut épuiser les limites de garanties des contrats traditionnels, souvent définies par année d’assurance et qui n’ont pas initialement été souscrits pour ce type de risques, privant la société assurée de couverture en cas de survenance d’un sinistre Dommages ou Responsabilité autre qu’un événement cyber et pour lequel l’assuré a souscrit le contrat. Un déséquilibre technique du contrat traditionnel pourrait résulter pour l’assureur, générant une augmentation significative de la prime.
Par ailleurs, ces garanties n’ont souvent pas été tarifées par les assureurs qui pourraient refuser l’indemnisation en invoquant cette situation ou une autre exclusion qui pourrait s’appliquer, comme par exemple celle d’acte de guerre ou de terrorisme, à l’instar des assureurs de Mondelez.
Cette situation, insatisfaisante pour le client et délicate, voire dangereuse, pour l’assureur a nécessité la recherche de solutions, de la part du régulateur et de l’assureur.
Les ajustements recommandés par les autorités réglementaires
Plusieurs solutions sont ouvertes pour gérer les couvertures silencieuses. Certaines ont été inspirées par les autorités réglementaires et les associations des assureurs, mais les assureurs sont libres d’adopter la solution qui leur semble la plus adaptée, en fonction de leur portefeuille.
Le secteur de l’assurance est un secteur fortement réglementé en raison du cycle économique inversé, situation quasiment unique en économie : les assureurs ne connaissent leur prix de revient qu’en fin d’année, voire des années plus tard, et toujours après avoir vendu leur produit.
Les autorités réglementaires de l’assurance tirent de cette caractéristique la justification de leur mission de veiller à la solvabilité des compagnies d’assurance, afin que ces dernières puissent faire face à leurs engagements envers leurs clients au moment du sinistre. Elles s’assurent notamment de la pertinence de la tarification du risque couvert, celle-ci garantissant l’équilibre technique de l’assureur et l’existence d’un provisionnement prudent des sinistres.
Les autorités réglementaires européennes et nationales se sont en conséquence saisies du sujet des couvertures silencieuses qui menace la solvabilité des compagnies d’assurance.
L’AEAPP
La PRA s’est intéressée aux couvertures silencieuses dès 2017 et a demandé aux assureurs soumis à la norme Solvabilité 2 de les évaluer et de les gérer. Mais face au manque de réaction des assureurs, elle s’est montrée plus précise et insistante début 2019, en fixant un délai (premier semestre 2019) aux assureurs pour mettre en place un plan d’action afin de gérer leur exposition aux couvertures silencieuses cyber dans les contrats traditionnels.
L’ACPR française a également réagi à la question des couvertures silencieuses. Elle a mené une enquête auprès des assureurs et des courtiers spécialisés dans les risques cyber, avant de publier un Communiqué de Presse le 12 novembre 2019. Elle y fait le même constat que l’EIOPA, « les assureurs ne mesurent pas encore suffisamment leur exposition, notamment à travers les garanties implicites contenues dans les contrats en cours », et préconise l’évaluation exhaustive de l’exposition au risque cyber et, si c’est pertinent, son intégration au Rapport ORSA (Own Risk and Solvency Assessment), rapport annuel sur les risques approuvés par le CA de l’assureur et transmis aux autorités de contrôle.
Cette position mécontente certains assureurs qui attendent une position plus ferme de la part de l’ACPR et lui demandent de jouer pleinement son rôle de régulateur. En effet, les règles de concurrence doivent être équitables. Les assureurs américains et britanniques sont fortement incités à prendre des mesures correctrices, alors que la marge de manœuvre des assureurs français en la matière est plus large, ce qui peut accroître la concurrence sur le marché.
Les solutions adoptées par les marchés d’assurance
Devant l’insistance de certaines autorités de contrôle et afin de remédier à une situation délicate pour les assureurs et leurs assurés, les marchés européens d’assurance ont réagi de manière dispersée.
Dans une enquête menée par l’EIOPA en 2019 auprès de 41 grands assureurs européens qui représentent 75 % des couvertures du marché, il ressort que 5 groupes seulement ont explicitement exclu les risques cyber de leurs polices RC et DAB et que, chez 41 % des groupes d’assurance interrogés, aucun plan d’action n’a été mis en place pour gérer les couvertures silencieuses. Les raisons invoquées par les assureurs sont multiples, mais peu pertinentes.
| Raison invoquée | Contre argument |
| La difficulté de lier les garanties existantes aux risques cyber | Un groupe de travail incluant des experts informatiques pourrait accompagner les assureurs dans ce travail d’identification. |
| L’exposition cyber n’est pas une menace pour eux, ni à court ni à long terme | La survenance d’un événement cyber majeur, touchant simultanément plusieurs entreprises clientes, mettrait en difficulté même les assureurs ayant des fonds propres abondants, réduisant ainsi leur ratio de solvabilité. |
| Manque d’historique sur l’exposition | Des affaires judiciaires sont en cours aux États-Unis pour une indemnisation de sinistres cyber sur la base de contrats traditionnels. Attendre d’avoir un historique pourrait être trop long et mettre en péril l’assureur et la confiance du client. |
| Manque d’innovation dans la conception de produits | L’assurance est un secteur mouvant et se transforme continuellement, en fonction de la sinistralité et de la technologie. C’est le fait de ne pas s’adapter que les clients pourraient reprocher à leurs assureurs. |
| Concurrence et positionnement marché | C’est la raison principale de non-exclusion des risques cyber des contrats traditionnels. Ce dernier point sera résolu lorsque la pratique de marché évoluera, d’où la nécessité d’avoir une approche coordonnée. |
Au Royaume-Uni, pour donner suite au courrier adressé par la PRA aux assureurs leur demandant de traiter les couvertures silencieuses cyber dans leurs portefeuilles, Lloyd’s a mis en place une procédure pour affirmer ou exclure les couvertures cyber en deux temps. Les polices d’assurance Dommages entrant en vigueur à partir du 1er janvier 2020 doivent être conformes ; les polices RC et les traités de réassurance devront l’être en deux phases en 2020 et 2021. Ceci devrait mettre fin aux couvertures silencieuses dans les contrats souscrits par les syndicats des Lloyd’s pour l’avenir.
De nombreux travaux ont été rapidement entrepris pour respecter le délai du 1er janvier 2020 pour la gestion des couvertures silencieuses dans les contrats Dommages. Selon les premières retombées du marché, les assureurs britanniques privilégient les clauses LMA 5400 et 5401 (rédigées par la Lloyd’s Market Association) pour l’exclusion des risques cyber des contrats Dommages puisqu’elles sont rédigées dans un esprit semblable aux exclusions partielles déjà existantes dans les contrats.
En France, la Fédération française de l’assurance (FFA) a publié une circulaire ayant pour objet « Le risque cyber – clauses d’exclusion », dans laquelle elle fait référence à l’exclusion et la quantification pour gérer les couvertures silencieuses. Un modèle de clause d’exclusion y est proposé pour les contrats RC et deux modèles de clauses y sont proposés pour les contrats DAB.
Les exclusions proposées par la FFA sont moins restrictives que celles publiées par la LMA. En effet, les clauses proposées par la FFA n’excluent pas le Dommage matériel consécutif à un événement cyber, elles sont également plus faciles à comprendre et à gérer puisqu’elles ne différencient pas les Dommages « malveillants » et « non malveillants ».
Cependant, le marché français de l’assurance étant connecté au marché anglais de l’assurance, notamment à travers la réassurance, de nombreux assureurs français des Dommages aux Grandes Entreprises ont choisi d’adopter la clause LMA 5401, qui leur est souvent imposée par le marché de Londres.
Les clients et les courtiers français ne sont toutefois pas prêts aujourd’hui à accepter cette clause en l’état, en raison de l’exclusion de Dommages matériels qui ne sont pas non plus couverts dans les contrats spécifiques cyber. Ils ont donc pour l’instant, obtenu le rachat qui permet d’annuler en partie l’exclusion, gratuitement ou moyennant une prime supplémentaire.
Quant à l’exclusion pour les contrats RC proposée par la FFA, elle est rédigée de façon très large et inclut les dommages matériels, corporels et immatériels. Elle concerne tout autant la RC exploitation que la RC après livraison et la RC professionnelle.
Là encore, les clients et les courtiers français ne sont pas prêts à accepter une exclusion aussi large, d’autant que les contrats spécifiques cyber n’ont pas vocation à couvrir les dommages matériels et corporels, ni la faute, l’erreur ou la négligence dans la prestation de l'assuré (propres au contrat RC Professionnelle).
Avec l’exclusion proposée par la FFA dans les contrats RC, les assurés se trouveraient sans couverture sur ces risques. Ils ont donc adapté la clause de façon à n’exclure que les Dommages Immatériels Non Consécutifs aux dommages matériels ou corporels (DINC) et ce, seulement pour les sinistres intervenus en cours d’exploitation.
Conséquences des ajustements contractuels sur les assurés et les assureurs
Les ajustements contractuels entrepris par le marché de l’assurance ont d’importantes conséquences tant pour les assurés que pour les assureurs eux-mêmes.
Pour les assurés, la couverture de leurs risques cyber devient plus complexe et réduite avec des coûts plus élevés.
Annoncée par le régulateur et les assureurs comme un élément de clarification pour les assurés, la gestion protéiforme des couvertures silencieuses par les assureurs a introduit de la complexité dans la couverture des risques cyber.
La couverture est amoindrie puisque les assureurs ayant pris conscience des couvertures silencieuses dans leurs contrats, ont majoritairement procédé à des exclusions qui, même si elles font l’objet d’un rachat, diminuent la couverture des risques cyber puisque l’objet du rachat est d’opposer une sous-limite du plafond de garantie. Il en est de même dans les cas d’affirmation de garantie.
Certains assureurs, au lieu d’insérer une exclusion dans leurs polices traditionnelles, ont choisi de sous-limiter les garanties applicables à un sinistre d’origine cyber, diminuant ainsi le niveau de couverture des assurés contre ces risques.
Même si l’assuré souscrit une police spécifique cyber, la couverture reste inférieure puisque la capacité offerte par les assureurs cyber, du fait de l’immaturité du marché et de la crainte du risque systémique, est encore en deçà de celle offerte par les lignes traditionnelles qui sont, quant à elles, bien maîtrisées.
De plus, pour cette couverture amoindrie, les assurés subissent une augmentation de coûts, car afin de pallier les « trous de garanties » générés par les exclusions, ils doivent trouver une solution alternative pour couvrir leurs risques cyber. La solution adoptée par beaucoup d’entre eux est la police spécifique cyber, avec une prime spécifique, qui s’ajoute au budget de prime DAB et RC de l’entreprise.
Les ajustements contractuels ont également des effets négatifs sur les assureurs :
– le positionnement concurrentiel : les assureurs ayant pris action et exclus les risques cyber se sont placés dans une situation concurrentielle défavorable ;
– une dégradation de l’image de l’assurance due à la gestion protéiforme des couvertures silencieuses, mais aussi aux différentes exclusions sans baisse de prime et surtout au manque d’innovation pour proposer des solutions alternatives ;
– une gestion incomplète des couvertures silencieuses : les DINC sont éliminés dans les contrats RC et les dommages immatériels dans les contrats DAB.
La suppression partielle des couvertures silencieuses n’a donc pas été en mesure d’éliminer les risques qu’elles engendrent, à la fois pour les assurés et les assureurs. Cependant, elle a le mérite d’avoir provoqué une prise de conscience de la part des assurés sur la nécessité pour eux de rechercher des alternatives pour la couverture de leurs risques cyber, et de la part du marché de l’assurance sur la nécessité de proposer des solutions aux assurés préalablement à la suppression de garanties existantes.
La nécessité pour l’avenir de nouvelles solutions de couverture du risque cyber
Les offres de polices cyber spécifiques se sont multipliées sur le marché de l’assurance en France ces cinq dernières années et se sont adaptées progressivement à l’évolution des risques cyber. Elles proposent généralement des garanties à trois volets et sont assorties de clauses d’exclusion adaptées à ces risques.
Le premier volet consiste en l’assistance et la gestion de crise. Il offre à l’assuré un accès à une cellule de crise opérationnelle 24 heures/24 et 7 jours/7, ainsi qu’à un panel d’experts en réponse à un incident cyber. Ce volet est considéré comme primordial par les Risk Managers qui ont besoin d’accompagnement le jour où ils seront confrontés à un sinistre pour les aider à gérer la crise à laquelle ils doivent faire face dans l’urgence.
Le second volet couvre les pertes financières subies par l’assuré à la suite d’un incident cyber dans les garanties Dommages. Il comprend notamment le paiement de la rançon (en cas d’attaque par « rançongiciel »), les pertes d’exploitation dues à un événement cyber ainsi que les éventuelles pénalités contractuelles. Ce volet prend une place prédominante dans les contrats cyber, en raison de la prépondérance des attaques par rançongiciel au cours des deux dernières années.
Le troisième volet est la couverture de la RC consécutive à un événement cyber. Il permet à l’assuré de répondre de ses responsabilités devant l’Autorité compétente (la CNIL) et vis-à-vis des tiers, de dommages immatériels non consécutifs à un dommage matériel ou corporel. Il est souvent lié à une atteinte aux données à caractère personnel et confidentiel ou à une atteinte au système d’information (RGPD et contrôles de la CNIL).
À l’instar des polices d’assurance traditionnelles, les polices d’assurance spécifiques cyber sont assorties de clauses d’exclusion classiques, mais aussi de clauses adaptées à la particularité de ces risques. Nous mentionnerons ici seulement deux d’entre elles qui impactent la gestion des couvertures silencieuses : les exclusions Fraude et Dommages matériels et corporels.
La fraude est souvent exclue des contrats cyber. Cette position est partagée par les souscripteurs et les courtiers, qui s’accordent sur la nécessité de continuer à couvrir les pertes dues à la fraude par un contrat Fraude et non un contrat cyber.
En effet, un contrat Fraude couvre également des Dommages matériels qui sont exclus dans les contrats cyber. Le cumul de garanties entre ces deux types de contrat étant relativement élevé, certains assureurs ont choisi de proposer à leurs clients des contrats combinés Fraude et cyber, c’est le cas par exemple d’AIG et Chubb.
Un point de vigilance porte sur les dommages matériels et corporels, qui sont quasi systématiquement exclus des contrats cyber. Cette exclusion ne fait pas l’unanimité auprès des courtiers et des souscripteurs. Près de la moitié des courtiers interrogés lors d’une enquête menée par Partner Re et Advisen fin 2019 considèrent que les dommages matériels relatifs à un événement cyber devraient être couverts par le contrat cyber spécifique, alors que plus de la moitié des souscripteurs interrogés estiment que ces Dommages doivent être garantis par un contrat Dommages.
Les travaux menés par les assureurs pour éliminer les couvertures silencieuses des contrats traditionnels vont se traduire par un élargissement des clauses d’exclusion cyber dans les contrats traditionnels aux Dommages matériels et corporels. Ceci renforce la position des courtiers quant à l’inclusion des Dommages matériels et corporels consécutifs à un événement cyber dans les contrats cyber. En effet, les assureurs ne pourront les exclure des contrats traditionnels sans proposer une solution alternative au client pour éviter que ce dernier ne soit confronté à des trous de garantie dans la couverture de ses risques.
La profession doit arriver à un consensus sur cette dernière exclusion pour continuer à s’adapter à ces nouveaux risques après avoir innové avec la mise en place des contrats spécifiques cyber.
Les difficultés de la gestion des risques cyber
Les risques cyber sont difficiles à appréhender du fait de leur nouveauté nécessitant de l’expertise, un historique de sinistre et une cohérence terminologique. Par ailleurs, leur caractère systémique constitue un frein à la disponibilité de capacité sur le marché.
La complexité est telle que l’offre est aujourd’hui essentiellement distribuée par les courtiers qui se sont spécialisés dans ce domaine. Ils ont mis en place des outils leur permettant de quantifier les risques cyber des entreprises, d’analyser les contrats existants pour identifier les garanties nécessaires pour enfin proposer une stratégie de couverture des risques cyber.
La gestion de crise reste dans le champ d’intervention de l’assureur. Certains assureurs qui se sont positionnés tôt sur ce marché comme AIG, Chubb ou Zurich disposent d’une expertise solide dans ce domaine et d’une base de sinistre qui leur permet d’adapter leurs offres, mais cette base n’est pas partagée et manque de cohérence d’un assureur à l’autre.
Face à l’indisponibilité de ces données, l’assureur prend un risque élevé de tarification. Pour limiter ce risque, il est contraint de limiter sa garantie, renonçant ainsi à couvrir une partie du risque de ses clients. Aussi, afin de pouvoir disposer d’une base sinistre commune et cohérente, une nomenclature commune des garanties et plus généralement des termes spécifiques cyber doit être mise en place pour le marché.
L’AMRAE
Le travail de mise en commun des données de sinistres de tous les assureurs français, afin de pouvoir disposer d’une base commune de statistiques de sinistres fait toujours défaut. Il pourrait être mené grâce à une collaboration entre la FFA et l’ANSSI dans le respect des règles de confidentialité et de concurrence. En effet, la FFA peut agréger les déclarations de sinistre anonymisées de ses membres. L’ANSSI reçoit par ailleurs des informations sur des attaques qui ne sont pas assurées. Ces données pourraient être compilées dans un fichier permettant d’établir des statistiques qui seraient ensuite rendues publiques et mises à la disposition des actuaires modélisateurs des risques.
Dans l’attente de disposer de ces informations nécessaires à la bonne quantification des risques cyber, les assureurs restent prudents sur les capacités qu’ils mettent à disposition des assurés pour la couverture de ces risques. Leur appétit de souscription est au demeurant souvent limité car la segmentation du risque par secteur économique est forte et se précise au fur et à mesure de la disponibilité d’historique de sinistre.
Les entreprises des secteurs médical et financier doivent s’acquitter de primes très élevées pour pouvoir s’assurer contre les risques cyber en raison de leur niveau de sinistralité élevé.
Les assureurs sont également rendus prudents du fait du caractère systémique du risque, des situations de cumul et d’intensité lié à ce type de risques. Ces caractéristiques du risque limitent son assurabilité. Vient ensuite s’ajouter l’augmentation de la sinistralité en 2019 provoquant une hausse des tarifs et une réduction de la capacité fin 2019, faisant suite à la phase de positionnement et de lancement de l’offre.
La sinistralité devrait continuer de croître, mais de façon progressive, puisque même si la technologie progresse à grands pas, la sécurité informatique suit le même mouvement, encouragée par une législation de plus en plus stricte. Les utilisateurs sont quant à eux également de plus en plus avertis et prudents. Une phase de stabilisation devrait donc intervenir dans quelques années, avec des tarifs plus élevés et une capacité suffisante pour la demande qui ne cessera d’augmenter dans les prochaines années.
Face à un marché hésitant et tardant à mettre ses capacités en adéquation avec l’ampleur du risque et à en prendre conscience, les entreprises restent sous-assurées. Des solutions alternatives de gestion des risques cyber doivent donc être envisagées.
Les solutions complémentaires de gestion des risques cyber potentiellement envisageables
D’autres solutions peuvent être adoptées pour gérer les risques cyber, certaines sont intrinsèques aux entreprises et d’autres disponibles sur le marché.
Quant aux solutions intrinsèques, une bonne gouvernance du Risk Management assortie d’une forte prévention pour finir par la mise en place d’une captive d’assurance sont autant d’outils de maîtrise du risque dans l’ordre interne de l’entreprise.
La gestion des risques cyber a longtemps été perçue dans les entreprises comme étant de la responsabilité des services informatiques. Or il est aujourd’hui indéniable qu’il s’agit de risques d’ampleur pouvant affecter la réputation voire la pérennité d’une société. Une gouvernance adaptée, plus ou moins complexe en fonction de la taille de l’entreprise, doit donc être mise en place impliquant fortement le Comité de direction. Une prise de conscience et une prise en compte de ces risques au niveau de la Direction générale sont, dans tous les cas, nécessaires.
Ensuite, la prévention est un élément clé dans la maîtrise des risques cyber. Pour anticiper et limiter le risque d'une attaque cyber et ainsi permettre de s'assurer et de réduire la prime d'assurance, les entreprises et les administrations doivent mettre en place des mesures de prévention. Cette prévention passe par une analyse de l'exposition de l'entreprise à ces nouveaux risques puis à la mise en place d'une politique de prévention adaptée, dans trois domaines : la gestion des risques dus aux facteurs humains et organisationnels, la mise en place d'outils de protection et l’anticipation de la gestion de crise en utilisant des outils de résilience.
La réglementation joue un rôle important dans la prévention en fixant les règles de protection. Mais la prévention « non réglementaire » permet de réduire considérablement le risque brut pour des conditions d’assurance plus favorable, alors que les mesures de protections réglementaires peuvent provoquer une augmentation du risque cyber qui peut conduire à un transfert à l’assurance. C’est le cas du RGPD (Règlement Général sur la Protection des Données) qui a amplifié la demande en assurance cyber, les entreprises souhaitant, soit être assistées dans les obligations de notification, soit se protéger contre les mesures de sanction.
Enfin, les risques cyber, considérés dangereux et présentant des caractéristiques de fréquence et de forte gravité, ne bénéficient pas d’une capacité assurantielle suffisante sur le marché. De ce fait, ils pourraient être intégrés dans une captive d’assurance. Il s’agit d’une technique d’auto-assurance où un Groupe industriel crée sa propre filiale d’assurance, chargée de récolter les primes des filiales et de procéder à l’indemnisation, lorsqu’un sinistre intervient. La captive mutualise donc les risques des filiales et peut se réassurer comme un assureur traditionnel.
L’intérêt d’une captive cyber est conditionné au fait que les systèmes d’exploitation et les réseaux des filiales soient déconnectés de manière à éviter le risque systémique dans l’ensemble du groupe.
Des solutions extérieures à l’entreprise, provenant de sources privées ou publiques peuvent répondre à la problématique de la couverture des risques cyber.
Il y a tout d’abord la réassurance et la titrisation qui peuvent pallier le manque de capacité sur le marché.
Les réassureurs, à l’instar des assureurs et pour les mêmes raisons, se montrent prudents face à ces risques mais certains se positionnent sur ce marché risqué mais porteur, c’est le cas de Munich Re et de Scor. Ce dernier affiche un appétit et une capacité contrôlés et prudents.
La réassurance non proportionnelle qui permet l’intervention du réassureur en fonction du type de couverture recherché présente plus d’intérêt pour les risques cyber que la réassurance proportionnelle. Les différentes catégories de la réassurance non proportionnelle offrent en effet à l’assureur un panel de choix de réassurance pertinents pour la couverture de ses risques cyber. Pour se protéger contre le caractère systémique des risques cyber, la catégorie « excédent catastrophe » (excess cat) qui est utilisée dans le cas où une série de sinistres issus de la même cause intervient, paraît particulièrement adaptée aux besoins du marché d’assurance cyber.
Un transfert vers des investisseurs privés via la titrisation pourrait également représenter une bonne alternative, surtout dans le contexte actuel des baisses des taux et de rentabilité des placements traditionnels pour les investisseurs.
Les Pouvoirs Publics ont enfin un rôle à jouer en raison du caractère systémique du risque. Une attaque pourrait toucher plusieurs entreprises et impacter l’économie globale du pays. Un groupe de travail, à l’instar de celui installé par le ministère de l’Économie et des Finances pour le risque pandémique, pourrait être mis en place pour envisager les différentes possibilités d’intervention de l’État dans la couverture des risques cyber.
Un pool similaire au GAREAT, adossé à une garantie étatique représenterait une solution intéressante à cet effet. « Pool » signifie « mise en commun ». Il s’agit donc de rassembler les capacités de chacun pour couvrir un risque trop grand individuellement ou pour augmenter la capacité présente sur le marché.
Un fonds de garantie est recommandé par certains observateurs (OCDE). Il serait mis en place pour couvrir ou apporter un complément de couverture pour les risques qui présentent une dimension systémique ou d’intensité, ou les deux, comme les risques cyber et pour protéger les victimes d’une absence d’indemnisation si le responsable ne peut être recherché ou en cas d’insuffisance d’assurance.
Les risques cyber, assimilés à des risques de catastrophe naturelle et épidemiques en raison de leurs caractères systémique et d’intensité, sont théoriquement éligibles aux fonds de garantie de l’État, sous de nombreuses conditions, qui doivent être établies par le Groupe de Travail créé par le gouvernement pour apporter des réponses assurantielles aux événements exceptionnels (le projet CATEX).
Ces solutions permettront au marché de l’assurance cyber de croître sainement pour répondre à la demande en expansion des entreprises, notamment en raison de l’élimination prévisible des risques cyber de leurs contrats traditionnels et donc d’un traitement efficace des garanties traditionnelles existantes en portefeuille qui constituent les « garanties silencieuses » résiduelles.
