Nous vous souhaitons une rentrée fructueuse et intéressante et nous revenons dans cet article pour dérouler une rétrospective sur les conclusions majeures de nos précédentes publications. Nous revenons donc sur les thèmes majeurs propres aux assureurs, aux entreprises ainsi que ceux qui relèvent du développement du marché de cyber assurance.

 

Quid des assureurs / réassureurs ?

 

Nous avons abordé dans un premier temps une délimitation du contrat cyber ainsi qu’une définition du risque cyber car nous étions confrontés régulièrement à ces préoccupations chez les assureurs.

  • Pour le contrat cyber : cette préoccupation trouve son origine dans les pratiques actuelles du marché de la cyber-assurance avec une tendance à élargir les couvertures, les conditions et les modalités. Néanmoins, le marché s’accorde sur des garanties homogènes avec une classification en dommage direct et dommage au tiers. En même temps, l’immaturité de ce marché se manifeste par l’étendue des exclusions. Nous pensons qu’une taxonomie partagée par le marché, pour les garanties et les exclusions, serait un facilitateur pour gagner en lisibilité et en comparabilité.
  • Pour le risque : nous avons détaillé l’approche du CRO Forum en indiquant qu’il s’agit de tout risque découlant de l’utilisation des technologies de l’information et de la communication qui compromet la confidentialité, la disponibilité ou l’intégrité des données ou des services. L’exploitation de failles dans un système d’information opérant déjà efficacement entraîne, en fin de compte, une interruption des activités, une rupture de l’infrastructure et des dommages physiques aux personnes ou aux biens.

Ensuite, nous avons étudié les questionnaires comme vecteur de compréhension et outil d’évaluation des risques. Ces questionnaires ont pour finalité première d’atténuer l’asymétrie d’information sur la nature du risque sous-jacent entre les entreprises et les assureurs voire les réassureurs. Ils peuvent servir comme une feuille de route renforçant les axes de prévention entrepris par l’entreprise. D’autre part, des questionnaires très détaillés permettront d’améliorer la connaissance future du risque et de nombreux assureurs optent pour cette stratégie.

 

Quid des entreprises et organisations ?

De nouveaux développements technologiques et une matérialisation plus poussée des incidents augmentent le risque. De plus, de nouvelles réglementations renforcent l’impact, l’entendue ou l’amplitude des sinistres. Ainsi les dirigeants sont de plus en plus sensibles à ce risque avec comme conséquence un encouragement à souscrire des contrats cyber.

Mais les risques ne sont toujours pas totalement compris. De plus, la souscription d’un contrat cyber ne pourrait en aucun cas se substituer aux efforts de prévention et de sensibilisation au sein des organisations. Il est donc fondamental d’avoir une gouvernance efficiente pour mieux identifier les besoins et les couvrir.

 

Et le marché dans tout cela ?

La taille du marché actuelle est encore relativement petite et est perçue comme ayant un grand potentiel de développement.

Nous citerons ci-après les principaux défis qui entravent, de notre point de vue, le développement de ce marché :

  • Le manque de données est un obstacle majeur à une compréhension détaillée des aspects fondamentaux du cyber-risque. Cela découle d’une nécessité de mieux comprendre les cyber-risques, mais également d’obtenir un niveau insuffisant d’informations sur les risques.
  • L’asymétrie de l’information est un deuxième problème qui freine le développement du marché de cyber-assurance. Les entreprises connaissent mal leurs risques mais les assureurs ne savent pas à quel point. Il y a en plus cette suspicion d’aléa moral que les entreprises qui ont connu une cyber-attaque ou qui déploient moins d’efforts de prévention sont plus susceptibles d’acheter une assurance.
  • Comme conséquence aux deux obstacles susmentionnés, le marché limite les montants de couverture et offre des capacités en dessous des attentes. Ainsi les acteurs ne trouvant pas chaussure à leur pied sur le marché, ceux-ci préfèrent ne pas opérer les transferts de risques.

Nous espérons que cette série d’articles aura pu participer à approfondir les connaissances et la maitrise du risque cyber avec un regard assurantiel. Vous retrouverez nos analyses suite à ces réflexions dans un prochain article.

Catégories : Article