Assurance et marché de la réassurance |Le blog CCR Re

👩‍💻 Au cœur de la crise cyber : La nécessité de restructurer ?

Rédigé par CCR Re | 27 nov. 2023 18:36:29

Les tutos de la réassurance #7 - Saison 3

Bonjour à tous 👋

 

Aujourd'hui, et pour le septième épisode de la saison des tutos de la réassurance, nous allons parler de : "Au cœur de la crise cyber :
La nécessité de restructurer ?".

 

Ce sujet sera abordé par des experts de CCR Re, Emmanuelle Huguet et Madeline Jauvat.

 

Commençons !

 

[Emmanuelle Huguet] : Bonjour. Je suis Emmanuelle Huguet, je suis Actuaire-conseil à CCR Re.

 

[Madeline Jauvat] : Bonjour. Je suis Madeline Jauvat, Conseillère juridique en réassurance chez CCR Re.

Au cœur de la crise cyber, le marché de l'assurance doit se restructurer.

 

Voyons ce qu'il en est.

 

 

Est-il pertinent de s'interroger sur l'assurabilité du risque cyber ?

 

 

[Emmanuelle] : Indéniable, la réponse est oui. Ce risque, différent des autres, n'est probablement pas entièrement assurable.

 

Dans le monde réel, l'assurance a su industrialiser ses modèles pour couvrir la quasi-totalité des risques. Dans le monde numérique, les spécificités du risque cyber sont changeantes et potentiellement systémiques, compte tenu de la forte dépendance du système économique au numérique et des situations propices aux attaques, en font un risque peu propice à l'industrialisation. Ce risque est jeune en Europe et il n'existe donc pas de base de données statistique fiable. Les victimes vont de l'individu à la multinationale, avec des types de risques et des capacités très variables. Les assureurs doivent donc trouver de nouveaux modèles et à des offres adaptées au type d'acteur et au type de risque.

 

[Madeline]: Une autre difficulté majeure est que les couvertures silencieuses soulèvent des inquiétudes en raison du degré potentiel d'exposition au risque cyber dans les portefeuilles. En l'absence de clarification sur le fait que le risque cyber n'était pas exclu du champ d'application, il a été considéré comme silencieusement couvert dans de nombreux contrats.

 

Deux techniques de rédaction de contrat sont utilisées pour traiter la couverture silencieuse :

 

Tout d'abord, il convient de définir de manière exhaustive l'étendue de la couverture du contrat, de manière à ce qu'aucune couverture cyber ne puisse être réclamée si elle n'est pas spécifiée. Il est préférable de couvrir des risques désignés, plutôt que de couvrir "tout sauf...". Sinon, il est possible d'exclure la couverture du risque cyber en général. Les exclusions cyber se sont multipliées depuis 2019 pour mettre à jour les anciennes normes. La liste des "types de menaces exclues" s'est allongée :

 

  • La définition des systèmes informatiques, des données, ainsi que les types de dommages ont été précisés afin d'inclure le plus grand nombre d'hypothèses possible.
  • Un régime a été défini pour chaque type de dommage : la distinction entre les dommages accidentels et malveillants a été améliorée.

 

Ces nouvelles clauses témoignent d'une véritable analyse du risque cyber afin d'éviter une couverture silencieuse. Ces nouvelles clauses témoignent d'une véritable analyse du risque cyber afin d'éviter une couverture silencieuse. qui peuvent couvrir une partie du risque cyber,
si nécessaire.

 

 

Quelles actions ont été identifiées pour renforcer l'assurabilité du risque cyber ?

 

 

[Emmanuelle] : Le défi pour les assureurs et les réassureurs est de maîtriser parfaitement leurs engagements cumulés, et, pour les intermédiaires et les entreprises, de mettre tous les moyens préventifs possibles en place.

 

L'investissement de toutes les parties permettra d'identifier clairement ce qui est assurable afin d'éviter le risque de pandémie cyber. Pour s'impliquer dans le sujet, la Direction générale du Trésor a lancé une grande consultation nationale en 2022. La résilience au risque cyber est un enjeu majeur de souveraineté.

 

De la même manière que pour limiter la propagation de Covid, des actions numériques préventives sont indispensables pour les entreprises souhaitant se prémunir contre le risque cyber. Et le travail de l'intérieur reste la clef de cette prévention. Les enjeux en termes de formation et de sensibilisation sont donc considérables.

 

[Madeline] : D'un point de vue réglementaire, ce secteur est en train d'être introduit dans le code des assurances. Cela démontre la volonté
d'avoir une meilleure visibilité du risque cyber en le dissociant des autres risques et de promouvoir une meilleure offre d'assurance cyber.

 

Les autorités françaises ont montré leur intérêt pour l'assurance anti-Rançon dès 2020, lorsque des hôpitaux et des entreprises
ont été massivement rançonnés.

 

Le débat public a montré des opinions divergentes.

 

  • Une entreprise aura souvent plus d'intérêt à payer la rançon : L'interruption d'activité causée par le ransomware causera souvent plus de dommages que le montant de la rançon à payer.
  • Le paiement d'une rançon est toujours contre-productif : les moyens financiers donnés aux pirates leur permettent de poursuivre leurs attaques, ce qui rendra progressivement la lutte contre les attaques cyber de plus en plus complexe et obligera les entreprises attaquées à payer davantage de rançons.

 

Contre l'avis général, le gouvernement français a proposé une loi fin 2022 pour légaliser l'assurabilité des rançons :

  • Pour ne pas désavantager les assureurs français par rapport à leurs concurrents européens
  • Pour s'appuyer sur les exigences des assureurs pour améliorer les mesures de sécurité informatique des entreprises souscrivant ce type de contrat.

Le texte initial a été élargi avant son adoption début 2023 pour permettre les remboursements d'assurance suite aux intrusions dans les traitements automatiques de données, sous réserve d'une déclaration déposée par la victime dans les 72 heures suivant la connaissance de l'attaque.

 

 

Quand commencerons-nous à réfléchir à un régime de lutte contre le risque cyber ?

 

 

[Emmanuelle] : La capacité financière des assureurs et des réassureurs n'étant pas suffisante pour faire face à une cyber-catastrophe systémique, l'intervention des pouvoirs publics semble donc justifiée.

 

Le partenariat public-privé pour la gestion des risques extrêmes permettrait de définir un partage efficace des responsabilités, à l'instar des catastrophes naturelles, contribuant ainsi à l'anticipation et à la résilience.

 

La particularité du risque cyber,
au niveau de l'événement déclencheur, de l'historique et de la dynamique du risque, et le besoin d'assurance, nécessitera une adaptation
des méthodes de gestion des risques et d'intervention des autorités publiques.

 

[Madeline] : Merci beaucoup pour votre attention.

 

[Emmanuelle + Madeline] : Au revoir.

 


À bientôt 👋

 

 

 

📺 Pour plus d'épisodes à venir... Inscrivez-vous dès maintenant pour les recevoir en avant première! 📥