Les tutos de la réassurance #6 - Saison 3
Bonjour à tous 👋
Aujourd'hui, et pour le sixième épisode de la saison des tutos de la réassurance, nous allons parler de : "Quand le contexte géopolitique tendu accentue les peurs des assureurs et réassureurs".
Ce sujet sera abordé par des experts de CCR Re, Emmanuelle Huguet et Madeline Jauvat.
Commençons ! ⏬
[Emmanuelle Huguet] : Bonjour. Je suis Emmanuelle Huguet, je suis Actuaire-conseil à CCR Re.
[Madeline Jauvat] : Bonjour. Je suis Madeline Jauvat, Conseillère juridique en réassurance chez CCR Re.
[Emmanuelle] : Nous sommes aujourd'hui confrontés à un marché de l'assurance très sélectif pour des raisons évidentes liées à la spécificité du risque
[Madeline] : Et aggravé par un contexte géopolitique très tendu.
Comment le risque cyber est-il appréhendé par les entreprises aujourd'hui ?
[Emmanuelle] : Les risques cyber sont donc en tête du baromètre mondial des risques 2022.
- Plus d'une entreprise sur deux aurait subi entre une et trois cyber-attaques réussies au cours de l'année 2021 avec de lourdes conséquences financières, et parfois une baisse de valorisation estimée de 8 à 10 % après l'annonce.
- Les attaquants sont de plus en plus structurés et spécialisés, attirés par des retours sur investissement élevés.
- Le marché est de plus en plus inquiet car confronté à des attaques de plus en plus sophistiquées.
- Les entreprises considèrent de plus en plus chaque maillon de la chaîne comme une vulnérabilité potentielle, ce qui devient un facteur clé dans les décisions de partenariat.
Quelle est aujourd'hui la position des assureurs et réassureurs par rapport au risque cyber ?
[Emmanuelle] : Nous avons constaté depuis 2021 une baisse significative de l'appétit de la part d'un bon nombre de leaders sur ce marché.
Au cours des deux dernières années, le marché de l'assurance cyber a réagi à des sinistres plus fréquents et plus graves liés notamment aux ransomwares. La capacité a été réduite, les prix ont fortement augmenté et les franchises ont été relevées. Les assureurs ont introduit de nouveaux critères de souscription, exigeant une norme minimale de contrôles de cybersécurité afin d'améliorer la gestion des risques et de réduire les pertes. Ils ont également revu les contrats afin de réduire le risque d'une couverture cyber "silencieuse".
Les réassureurs restent très prudents, notamment en raison de la nature potentiellement systémique du risque et de l'éventualité de sinistres cumulés pouvant atteindre des montants astronomiques avec des difficultés à en évaluer l'impact potentiel. L'introduction de limites de couverture annuelles dans les traités de réassurance est désormais courante, y compris dans les structures en quote-part.
[Madeline] : Le conflit entre la Russie et l'Ukraine a mis en évidence l'utilisation des cyber-attaques comme arme militaire par les États et les groupes terroristes. Cela a également modifié la vision traditionnelle du risque cyber et notre besoin d'intégrer de nouvelles exclusions dans les contrats, plus restrictives que les clauses traditionnelles d'exclusion des attaques cyber. Ce besoin a été satisfait à la fin de l'année 2021 avec la publication de 4 nouvelles clauses d'exclusion de cyberguerre par le Lloyds Syndicate.
Les clauses d'exclusion "CyberWar" visent à exclure du champ d'application de la couverture toute perte causée par une guerre ou une opération cyber, ce qui soulève de nombreuses inquiétudes :
- Comment définir la guerre alors qu'il n'existe pas de définition claire et consensuelle en droit international ? Cette définition peut poser des problèmes d'interprétation dans la pratique.
- En outre, c'est à l'assureur qu'il incombe de prouver que l'exclusion s'applique, ce qui est difficile : l'État attaqué doit en principe attribuer l'opération cyber à un autre État, ces clauses d'exclusion prévoient également la possibilité que l'État attaqué ne puisse ou ne veuille pas attribuer l'opération cyber à un autre État ce qui signifie que la charge de la preuve, dans cette situation, incombe à l'assureur.
Certains États, comme les États-Unis ou le Royaume-Uni, communiquent beaucoup par le biais de déclarations officielles afin d'attribuer les cyber-opérations à un autre État. D'autres, comme la France, n'attribuent jamais d'opérations cyber d'après leur stratégie diplomatique. Cela montre que la charge de la preuve de l'assureur sera très différente selon l'État attaqué. Néanmoins, s'il n'y a pas d'attribution officielle, est-ce vraiment à l'assureur d'assumer ce rôle diplomatique et politique d'attribution ?
Quelles sont les alternatives qui s'offrent actuellement aux entreprises ?
[Emmanuelle] : En réponse aux conditions difficiles du marché de l'assurance, et aux besoins de couverture grandissant, les grandes entreprises mobilisent de plus en plus leurs captives pour fournir une capacité supplémentaire, en particulier en première ligne, là où la capacité est plus limitée, et où les prix sont les plus élevés.
La création d'une nouvelle mutuelle, MIRIS, spécialisée dans la cyber-assurance, par un groupe d'entreprises industrielles européennes en est le parfait exemple.
[Madeline] : En outre, l'implication d'une captive donne aux assureurs une confiance supplémentaire permettant aux entreprises d'obtenir un soutien plus important de leur part. Bercy encourage clairement la mutualisation des différentes parties, et la captive de réassurance connaît un nouvel essor, car depuis 2023 la loi permet la constitution en franchise d'impôt d'une provision de péréquation concernant les risques énumérés dans le code des assurances.
[Emmanuelle] : Merci beaucoup pour votre attention.
[Emmanuelle + Madeline] : Au revoir.
À bientôt 👋
📺 Pour plus d'épisodes à venir... Inscrivez-vous dès maintenant pour les recevoir en avant première! 📥
