Publication : L'actuariel Octobre 2018

Cyberassurance : digérer la part de risques

Coralie Baumard

CAT BONDS, CYBER BONDS ?

Prêts à absorber les pertes extrêmes de plusieurs cédants, les réassureurs sont particulièrement vulnérables au risque de cumul. « Leur grande crainte, c’est un événement de masse, et ils n’ont pas d’historique là-dessus. Comment savoir si leur tarif est adapté ou pas, et comment le négocier compte tenu de la petitesse du marché ? Ils sont très prudents actuellement. Et il y a beaucoup de réassureurs qui sont présents sur le marché mais avec des capacités relativement faibles », décrit Florian Pons, actuaire certifié IA et cofondateur de Cri4Data. Pour limiter les risques, les réassureurs misent aussi sur les exclusions. Stefan Golling, le responsable de la souscription entreprise de Munich Re, déclarait ainsi dans une interview interne en juillet que la société ne voulait pas assurer certains aspects du cyberrisque à l’instar d’une « panne généralisée de réseaux externes, tels que l’électricité, les télécommunications ou l’infrastructure Internet ». Par ailleurs, « les réassureurs mettent une pression énorme pour exclure la guerre mais aujourd’hui les attaques informatiques sont des armes de guerre. Comment distinguer une cyberattaque résultant d’un conflit et une simple attaque malveillante ? Une rumeur de guerre informatique pourrait bloquer l’indemnisation même si retrouver l’origine d’une attaque est actuellement pratiquement impossible », souligne Luc Vignancour.

Des catastrophes pouvant engendrer des dégâts d’une telle ampleur que même les réassureurs ne soient pas en mesure de les couvrir… La situation s’apparente au risque catastrophe naturelle, qui a donné naissance aux obligations catastrophes. Ce transfert de risque au marché financier et le recours aux fonds de titrisation d’assurance (ILS) pourraient viabiliser le marché. « Une solution pour résoudre la question du manque de capacité pourrait être d’émettre sur les marchés financiers des titres pour couvrir des événements cyber, des sortes de cyber bonds », imagine Alexandre Hassler.

Autre défi pour la pérennité de l’assurance cyber : les silent cover ou garanties silencieuses. Ce terme renvoie à la couverture de faits générateurs d’événement cyber par des contrats traditionnels existants sans que celle-ci ait été identifiée comme telle ou prise en compte dans la tarification des contrats traditionnels par l’assureur. « Les contrats risque d’exploitation en portefeuille couvrent en partie le cyberrisque, car, en fait, il ne s’agit pas à proprement parler d’un nouveau risque. Mais sa fréquence et sa gravité se sont considérablement accrues depuis quelque temps du fait de l’explosion du numérique, ce qui alourdit les engagements des assureurs de façon importante. Il faut donc en premier lieu évaluer le périmètre de ce risque et le poids dans les contrats existants et parallèlement rédiger les nouveaux contrats en conséquence : par exemple, libeller certaines exclusions pour préciser le champ de ce qui est couvert et de ce qui n’est pas couvert et inciter les assurés à adopter de bonnes pratiques pour se prémunir du mieux possible des attaques des hackers et des erreurs internes. L’une des difficultés pour les équipes, juristes et actuaires, est de bien définir ce qu’est le cyberrisque, jusqu’où va-t-il ? Risque d’image, indemnisation des sanctions, etc. », explicite Florence Picard, membre du Haut-conseil de l’Institut des actuaires en charge du groupe de travail cyberrisque.

RGPD : QUELLE PRISE EN CHARGE DES SANCTIONS ?

D’autant que la définition même du risque tend à s’élargir. Avec l’instauration du règlement sur la protection des données personnelles, les assureurs sont par exemple confrontés à la question de l’indemnisation ou non des sanctions. « Dans nos contrats d’assurance, nous indiquons que nous pouvons prendre en charge des sanctions pécuniaires ou des amendes civiles imposées par le régulateur responsable de la mise en œuvre et du respect de la législation sur la protection des données informatiques, dès lors qu’elles sont légalement assurables. Mais nous n’avons pas de cas réel de prise en charge de ces amendes, nous sommes dans l’expectative, nous l’écrivons dans notre texte de garantie comme beaucoup d’assureurs pour nous laisser la possibilité de les couvrir demain si les décisions juridiques venaient à évoluer en France. Comme notre contrat a pour vocation de couvrir nos assurés pour des problématiques touchant leur système d’information et les données qu’ils peuvent collecter et/ou traiter aux quatre coins du monde, nous ne pouvons pas seulement nous baser sur la législation française ou européenne », précise Jérôme Chartrain. Les garanties -silencieuses inquiètent aussi les régulateurs. En juillet, la Prudential Regulation Authority du Royaume-Uni a demandé aux assureurs de réduire leur exposition -involontaire aux cyberrisques et de déterminer clairement si les cyberattaques sont couvertes par des polices ordinaires.

Lire la suite…