Le socle de couvertures est homogène contrairement aux exclusions

L’analyse de nos experts fait ressortir une certaine homogénéité et une cohérence entre les clauses des garanties, les frais et les événements couverts. Pour capter le socle de couverture, il a fallu retenir seulement dix offres du marché.

Par contre, le champ des exclusions demeure assez étendu et relève presque du domaine de la créativité des juristes et des chefs de produits des assureurs. Pour capter un socle constant des exclusions, il a fallu environ 40 offres pour cerner l’étendu de ce champ. Et parfois, il était nécessaire d’étudier de près les définitions pour découvrir un libellé additionnel décrivant des exceptions, des conditions ou des limites à la couverture.

Ce constat est assez révélateur d’une certaine frilosité et d’une approche par tâtonnement pour couvrir ce risque. Cette posture est accentuée par des questionnaires, pour évaluer le risque, assez consistants mais parfois contre-productifs.

 

Une souscription et une gestion sinistre structurées mais encore perfectibles

Pour atténuer les effets d’asymétrie d’information et constituer une base pour épauler le principe de « bonne foi », les assureurs utilisent des questionnaires pour mieux apprécier les risques à porter. En général, ces questionnaires adressent trois axes :

  • Organisationnel, gouvernance, politiques et procédures,
  • Technique,
  • Juridique et conformité.

Mais ils occultent l’appréciation de la chaîne de valeur ainsi que son écosystème qui sont notoirement difficiles à évaluer même s’ils sont à l’origine de nombreuses violations. Nous reviendrons, plus en détails, dans une série d’articles élaborés à cet effet et qui reprennent les positions prises par les assureurs.

Quand l’événement est couvert, la prise en charge d’un sinistre, par l’assureur, obéit à trois conditions :

  1. L’incident est identifié au cours de la période d’assurance. Quelques clauses dérogent, parfois, à cette condition. C’est assez rare mais il est intéressant de le souligner.
  2. L’assuré a signalé le sinistre à l’assureur dans une délai raisonnable (30 ou 60 jours après la première découverte).
  3. Les coûts sont « nécessaires et justifiés ».

 

Le manque de données historiques se ressent sur les approches adoptées pour tarifier le risque cyber

Notre analyse fait ressortir une variation dans la sophistication des modèles de tarification adoptés par les assureurs :

  • La majorité adopte, pour le moment, des taux simples et forfaitaires à multiplier par un montant de couverture choisi (souvent imposé !) par l’assuré.
  • Quelques assureurs incluent d’autres paramètres tels que la valeur de marché de l’entreprise, son CA, le secteur ou la branche.
  • Rares sont ceux qui intègrent l’appréciation de l’ensemble du socle de pratiques préventives et correctives adopté par l’entreprise via ses directions Risque et Système d’informations même si ces contrôles et ces pratiques de sécurité sont collectés à partir des questionnaires requis par les assureurs.

 

Cet article conclu le cycle sur l’offre du marché de l’assurance cyber risque, suite à une introduction, l’étude des couvertures et des exclusions.

Nous continuons nos investigations sur ce sujet pour mieux recenser les positions des experts de la place et nous partagerons, avec vous, leurs analyses dans les prochaines semaines.

Catégories : Article