La nouvelle ère des cyber-risques appelle à une nouvelle approche de l’assurance

0
52

Le paysage des risques cyber évolue rapidement, les cyber attaques gagnant en gravité et en sophistication. Les pirates utilisent désormais des techniques d’extorsion multiples et les ransomware-as-a-service ont réduit les barrières à l’entrée pour les cybercriminels. De plus, la numérisation accrue des infrastructures essentielles les a rendues plus vulnérables aux cyber menaces – avec le risque de retombées systémiques si une cyberattaque interrompt l’accès en eau potable, en énergie ou à internet pendant une période prolongée. Cette nouvelle ère de risques exige une approche différente de l’assurance des risques cyber, selon une nouvelle étude du Swiss Re Institute.

Tribune – Jérôme Haegeli, Chef économiste chez Swiss Re Group :

« Les cyberattaques se sont multipliées, tout comme la prise de conscience du risque – et avec elle, la demande en assurances cyber. Cependant,  en raison du degré élevé d’incertitude concernant les pertes attendues et de la nature évolutive du risque cyber, son assurabilité est limitée. Cela restreint la capacité du marché, qui entraîne un déficit de protection d’environ 90 %. »

L’étude propose trois domaines d’amélioration par lesquels le secteur de la réassurance peut contribuer à gérer plus efficacement le risque cyber et à accroître l’assurabilité : renforcer la cohérence et la clarté des contrats, utiliser des données standardisées et une meilleure modélisation, et identifier de nouvelles sources de financement.

Il est essentiel d’améliorer la compréhension de ce risque, car cela permettra d’atténuer l’exposition globale et de rendre la société plus résistante aux cyberattaques, qui ont des conséquences catastrophiques et potentiellement systémiques. Par nature liés à des risques humains et à un fonctionnement en réseau, le risque cyber évolue continuellement et appelle à une réponse coordonnée. L’amélioration de la cyber résilience nécessite une collaboration accrue entre les entreprises, les assureurs et les gouvernements

John Coletti, Responsable de la Réassurance Cyber chez Swiss Re: « Le marché de la assurance cyber a un très fort potentiel de croissance. Cependant, le marché doit encore gagner en maturité pour garantir une protection acceptable. Notre secteur a un rôle clé à jouer en s’attaquant à trois problèmes : améliorer les données et la modélisation, renforcer la cohérence et la clarté des contrats et identifier de nouvelles sources de financement. »

Les principales conclusions de la publication de l’Institut Swiss Re sur le marché de l’assurance cyber sont les suivantes :

  • L’augmentation de la fréquence et de la gravité des cyberattaques a été l’un des principaux moteurs de la croissance du marché de l’assurance cyber. Les primes mondiales en assurances cyber ont atteint un montant estimé à 10 milliards de dollars en 2021 et l’Institut Swiss Re prévoit une croissance annuelle de 20 % jusqu’en 2025, le total des primes atteignant alors 23 milliards de dollars. Le marché présente un potentiel de croissance important au-delà de ces projections. Compte tenu des estimations des pertes mondiales annuelles liées à la cybercriminalité, estimées à environ 945 milliards de dollars, environ 90 % 2 du risque n’est pas assuré.
  • Malgré une croissance rapide, les primes ne représentent qu’une partie des pertes annuelles. Cela est dû aux limites de l’assurabilité : les pertes systémiques pourraient enfoncer les réassureurs, les pertes cyber étant principalement causées par des humains et ne sont donc pas aléatoires ou accidentelles, et le risque est difficile à quantifier en raison des contraintes de données et de modélisation. En outre, le risque d’accumulation pose un problème. En raison de l’interconnexion de l’économie, une seule cyberattaque pourrait avoir un impact important et potentiellement affecter l’ensemble du portefeuille d’un assureur ou d’un réassureur.
  • Malgré une demande croissante, l’assurabilité limitée réduit la capacité, et met en doute la durabilité du marché. Pour améliorer l’assurabilité et créer un marché pérenne, le Swiss Re Institute propose trois mesures clés :
    1. La standardisation des données et l’optimisation de la modélisation : Les risques cyber sont difficiles à quantifier en raison du manque de données standardisées et des contraintes de modélisation dans un environnement de risques changeant. Les risques futurs sont généralement estimés sur la base de données antérieures, mais cette approche est  dans le contexte du risque cyber pour deux raisons : le manque de données normées et le fait que les données antérieures sont moins efficientes dans un environnement de risque en évolution rapide. L’introduction de normes de cybersécurité devrait permettre d’améliorer les données relatives aux risques cyber en termes d’ampleur et de transparence, afin de donner un aperçu significatif des risques et de permettre une tarification et une modélisation plus précises. Les réassureurs doivent également investir dans les talents cyber pour aider à renforcer les compétences actuarielles et techniques nécessaires à l’analyse médico-légale qui fait partie des cycles de souscription et de gestion des sinistres.
    2. L’actualisation du langage des polices pour plus de clarté et de cohérence : La relative jeunesse du marché de l’assurance cyber et la complexité des risques associés se traduisent par un manque de standardisation autour des clauses d’exclusion et des termes et conditions. L’incertitude quant aux responsabilités en cas de catastrophe cyber reste un obstacle à l’accroissement des capacités du secteur. Les parties prenantes ont pris des mesures pour résoudre certains de ces problèmes, mais des facteurs tels que l’attribution des -événements cyber restent un problème majeur. En clarifiant les responsabilités, ainsi qu’en soutenant la compréhension des risques et les efforts d’atténuation, la clarté et la cohérence des contrats peuvent conduire à une capacité cyber accrue.
    3. L’identification de nouvelles sources de financement : La collaboration entre les secteurs public et privé est essentielle pour atténuer les cybermenaces pesant sur les infrastructures essentielles. Un régime d’assurance fondé sur un partenariat public-privé (PPP), dans lequel la couverture des risques systémiques est répartie entre les assureurs et un fonds soutenu par le(s) gouvernement(s), est une option permettant de combler une partie du déficit de protection. Une autre solution serait d’exploiter le marché des titres liés à l’assurance (ILS).

Téléchargez la publication ici.

1 Computer security firm McAfee, The Hidden Costs of Cybercrime, December 2020.
1 The Geneva Association, Understanding and Addressing Global Insurance Protection Gaps, April 2018.