Les assurances de biens et de responsabilité commercial sont disponibles sur le marché d’assurance avec comme portée ultime les dommages aux biens matériels et peuvent exclure les risques cyber.

Souvent, les termes du contrat sont muets sur les événements cyber qui seraient inclus. Ce qui engendre des couvertures où la cyber-exposition n’est explicitement ni incluse ni exclue. Des cyberattaques de plus en plus fréquentes et la menace qui en résulte pour les infrastructures de services est une raison supplémentaire pour les responsables des risques pour placer les menaces informatiques au niveau le plus élevé de leurs préoccupations aussi bien pour les dommages matériels que pour les litiges impliquant leurs responsabilités civiles.

 

Quelles sont les tactiques adoptées par les assureurs ?

Dans un tel contexte, les clients pensent que les incidents informatiques sont couverts alors que les assureurs supposent qu’ils sont exclus. Cette ambiguïté pourrait entrainer des litiges puis des frais juridiques supplémentaires potentiels pour les assureurs.

Soit l’assureur pourrait adapter ses polices en excluant explicitement le cyber des produits traditionnels et proposer une offre cyber en produit spécifique (autonome ‘stand alone’). Soit les inclure explicitement dans les contrats en cours et ajuster les primes en conséquence.

De plus, il faudrait s’attendre à un potentiel d’accumulation de pertes dans le cas où des sinistres seraient déclenchés par un événement cybernétique de grande ampleur. Ce potentiel de pertes existe, mais il est difficile d’en estimer l’envergure et reste donc difficile à gérer par les assureurs.

Enfin, en 2017 selon l’OCDE, la possibilité d’une couverture implicite du risque cyber au sein des branches traditionnelles pourrait également empêcher les compagnies d’assurance d’étendre la couverture qu’elles offrent aux cyber-risques en bridant, au passage, le marché de l’assurance cyber.

 

Comment procéder pour quantifier et couvrir le portefeuille ?

Il serait intéressant de détecter les expositions latentes au sein des portefeuilles de branches traditionnelles et les quantifier correctement. Il est raisonnable de penser que tout ce qui est inclus dans les ‘Branches Dommages’ (Risques Industriels, Bris de Machine, Incendie, Explosion …) pourrait éventuellement être exposé à des risques cyber implicites.

Pour s’assurer de l’exhaustivité, il serait intéressant d’adopter une démarche pragmatique par scenarii. Il faudrait dans un premier temps identifier les types de menaces cyber, leurs intensités et vitesse de propagation. Puis dérouler ces menaces, en vision hypothétique, sur les contrats ou des agrégats de contrat du portefeuille P&C.

Pour évaluer l’accumulation de ce risque, il faudrait se tenir à des scenarii réalistes pour estimer
des pertes potentielles résultant de la même ‘cause / événement’ au sein des contrats du portefeuille. La classification peut se faire par branche ou par d’autres clés d’agrégation dont l’assurance dispose ou souhaite mettre en place. Ces analyses sont limitées par la disponibilité des données.

Quelques paramètres devraient être calibrés comme le taux prévisionnel d’attaque, les vecteurs d’attaque, les actifs compromis, le nombre de polices affectées par le même événement, les limites géographiques …

Il est généralement accepté que les attaques des infrastructures électriques sont considérées comme le scénario clé de propagation pour ces risques implicites (exemple de l’Ukraine) ou une panne partielle du Net sur une région. Nous pourrions envisager aussi des attaques sur des fournisseurs de services, une attaque criminelle via un virus qui affecterait un large éventail d’assurés, des violations de données d’un fournisseur clé …

 

Comment agir en cas d’incidents ?

Les assureurs avec une expérience significative pour gérer des sinistres cyber sont, pour le moment, minoritaires. Ils disposent des moyens et des ressources qui seraient suffisantes pour gérer les sinistres engendrés par leurs portefeuilles de produits cyber ainsi que ceux engendrés sur les contrats dommages et/ou RC via des garanties implicites.

Il se trouve que la majorité des assureurs manquent de moyens pour y faire face et devraient s’organiser pour disposer de centres d’excellence dédiés au risque cyber ou nouer des partenariats externes à ce sujet.

 

Chez CRI4DATA, nous avons constitué un centre d’excellence en cyber assurance indépendant qui regroupe la modélisation des risques cyber, la gestion des crises et une plateforme numérique pour gérer le cycle de vie d’un contrat. Enfin, nous mettons à votre disposition une plateforme pour assurer une gestion proactive du risque avec des bonnes pratiques, de la veille, et des interventions coordonnées avec notre réseau de partenaires spécialistes en cas d’incidents.

 

Catégories : Article