Aux États-Unis, près de 80 % des dirigeants de l’assurance de dommages considèrent l’assurance contre le cyberrisque comme un potentiel de croissance majeur pour l’industrie. Pour l’ancien directeur de la NSA, Keith B. Alexander, une « nouvelle approche » s’impose cependant pour faire face à cette menace.

Selon une enquête menée par l’Insurance Information Institute (III) à l’occasion de son 19e congrès annuel, les dirigeants de l’industrie de l’assurance en dommages croient que le marché de l’assurance contre les cyberrisques est en pleine expansion. Ainsi, ils sont 80 % à considérer l’assurance contre les cyberrisques comme un potentiel de croissance majeur pour les assureurs des entreprises.

Selon eux, le niveau d’exposition des entreprises, à la fois aux États-Unis comme à l’étranger, atteint aujourd’hui des niveaux historiques, qui font que ce marché est loin d’être saturé.

De plus, de nombreux dirigeants de l’industrie de dommages croient qu’il y aura, dans les années à venir, un environnement réglementaire plus strict. Ainsi, 62 % pensent que le gouvernement américain risque de renforcer le cadre réglementaire de la profession.

Vers une « nouvelle approche »

« La quantité des informations échangées va doubler tous les deux ans. Il y a d’énormes changements à venir notre chemin », selon le général Keith B. Alexander. Pour cet ancien directeur de l’Agence nationale de sécurité (NSA), la technologie évolue à un rythme phénoménal, et nous avons désormais besoin d’une « nouvelle approche ».

« Le gouvernement doit travailler avec l’industrie pour comprendre les nouveaux enjeux et vice versa, souligne-t-il. Il faut une loi sur la cybercriminalité qui représente 445 milliards de US $ par an. »

Par ailleurs, ce dernier souligne que le respect de la vie privée et la responsabilité sont des préoccupations bien réelles dans le cadre d’échanges de données entre des entreprises ou les services du gouvernement. Les protections pour effectuer ces partages en toute sécurité doivent être développées.

« Nous pouvons trouver des moyens pour protéger notre réseau au-delà de ce que nous faisons aujourd’hui, note le général Alexander. Nous sommes le pays qui a créé l’Internet, nous devrions être celui qui le protège. »

Un marché à développer, une gestion des risques à optimiser


Réunis au sein du CRO Forum, les chefs de file mondiaux de l’assurance ont identifié les différents facteurs susceptibles de stimuler la croissance du marché grandissant du cyberrisque. De plus, ils ont livré quelques clés pour une gestion des risques optimisée et pour des solutions alternatives à la réassurance.

Les cyberattaques peuvent provenir d’un large éventail de facteurs, affecter toutes les industries et entraîner des dommages aux données comme aux systèmes, au risque parfois de perturber la continuité des activités d’une entreprise. Aussi, assurer le cyberrisque comporte une myriade de défis. Les menaces changent continuellement alors que les pertes de données peuvent s’avérer difficiles à chiffrer étant donné le haut degré d’interconnexion des entreprises dans l’économie actuelle.

Les sociétés membres du CRO Forum, qui réunit de grandes compagnies d’assurance multi-nationales parmi lesquelles Allianz, Axa, Zurich, AIG, Lloyd’s, Munich Re, ou encore Aviva, ont donc choisi d’élaborer un cadre commun de gestion des cyberrisques. Dans un rapport publié en décembre dernier, elles ont tenté d’évaluer ce nouveau marché, tout en réfléchissant à la façon de gérer de façon optimale de tels risques et  aux polices à mettre en place selon les différents scénarios de cyberattaques.

Il est avant tout important de souligner que les entreprises ne peuvent se protéger totalement contre les cyberattaques, d’où la nécessité de mettre en place des mesures de gestion des risques claires.

Comment stimuler la croissance de ce marché ?

Dans une économie mondiale de plus en plus interconnectée, le marché des produits d’assurance spécifiquement conçus pour couvrir le cyberrisque a largement évolué ces derniers temps. Néanmoins, le développement de cette niche a été partiellement limité par le coût élevé « perçu » des polices. En effet, il existe aujourd’hui une confusion entre l’étendue des différentes couvertures et un haut degré d’incertitude quant à la probabilité d’une attaque.

Il y a pourtant plusieurs facteurs qui sont susceptibles d’entrainer la croissance du marché de la cyber-assurance à court et moyen terme.

Tout d’abord, l’augmentation du nombre de campagnes de publicité élaborée autour des cyberattaques de grande ampleur qui renforce l’impact économique potentiel d’une cyberattaque. Ces campagnes ont aussi pour conséquence de démontrer la manière dont les pertes peuvent affecter durablement une entreprise.

Deuxièmement, les changements réglementaires aux États-Unis, avec par exemple les nouvelles orientations de la Securities and Exchange Commission, ou en Europe, avec les discussions en cours sur un projet de règlement européen pour la protection des données. Ces évolutions législatives risquent d’augmenter le coût d’une cyberattaque pour une entreprise exposée car cette dernière sera confrontée à une hausse des exigences en matière de notifications et de sanctions.

De plus, l’exclusion progressive du risque cybernétique dans les polices standards en responsabilité augmente la nécessité de souscrire, en parallèle, une police dédiée à ce risque précis.

Enfin, les initiatives gouvernementales peuvent également avoir un effet sur le développement et la croissance de ce type de produits d’assurance. En février 2014, le gouvernement américain a publié une première version du Framework for Improving Critical Infrastructure Cybersecurity (en français, Cadre pour l’amélioration des infrastructures de cybersécurité). Les grands principes de ce document ont été élaborés en collaboration avec l’industrie et représentent « un ensemble de normes et de directives pratiques pour promouvoir la protection des infrastructures. »

Le gouvernement britannique a adopté une approche similaire et publié l’Essentials Scheme Cyber en juin dernier pour promouvoir de meilleures pratiques dans la gestion du cyberrisque et a mis sur pied un programme d’assurance obligatoire pour les fournisseurs qui soumissionnent auprès de certains services gouvernementaux, ainsi que pour les grands contrats commerciaux qui traitent des renseignements personnels.

Les assureurs et la gestion du cyberrisque


A la lumière de ces défis, le Cro Forum a identifié trois axes cruciaux à développer dans l’avenir : la classification des cyberrisques ; l’évaluation de l’exposition à ce type de risques ; le développement d’un cadre de gestion des risques approprié pour mieux appréhender cette exposition.

Tout d’abord, comprendre et gérer l’exposition d’un assureur au niveau de la souscription commence par une classification et un codage précis des risques. La codification est fondamentale à la tarification car elle permet de mesurer la rentabilité et de mieux gérer la répartition du capital. Elle doit ainsi offrir aux assureurs la possibilité de lier leur exposition dans la souscription du cyberrisque à leurs propres risques opérationnels.

Cependant, l’évolution rapide du cyberrisque et le large éventail de produits offerts rendent difficile le codage exact des polices pour les acteurs de l’industrie. Les cybercouvertures ne sont actuellement pas codées de manière cohérente, ce qui complique la mesure du risque. La mise en œuvre de codes spécifiques pour ce type de risques aiderait les assureurs à capturer et à contrôler les expositions d’une manière cohérente et transparente.

Par ailleurs, une meilleure évaluation de l’exposition à ce type de risques semble incontournable pour le développement du marché de la cyber assurance. Aussi, la façon la plus simple de gérer le risque est de s’assurer que l’exposition à ce risque est suffisamment diversifiée par secteurs, par contreparties et par zones géographiques.

Toutefois, les défis liés à l’interconnexion des systèmes d’information et le fait que le marché de la cyber-assurance est encore en développement rendent cette approche pas toujours évidente.

Enfin, le développement d’un cadre de gestion des risques approprié doit permettre de mieux appréhender l’exposition au risque. Il est donc crucial de bien déterminer le profil de risque de l’entreprise et d’établir des limites de tolérance au risque, tout en acceptant que l’allocation du capital soit compliquée et peu fiable. En conséquence, il est essentiel que la gestion des risques soit impliquée dans de la stratégie d’affaires de l’assureur pour couvrir les cyberrisques.

Solutions alternatives à la réassurance

Dans le but de compléter la capacité de réassurance, des discussions préliminaires sur les mécanismes alternatifs de transfert de cyberrisques ont été conduites. Par exemple, la possibilité d’émettre des « cyber-obligations » ou celle d’une réassurance garantie commencent à être discutées. Alors que les obligations de dommages liés à des catastrophes ont mis du temps à se développer, les « cyber-obligations » représentent des risques ciblés avec des résultats binaires sur une période de temps définie. Ils pourraient donc convenir aux gestionnaires de fonds souhaitant se diversifier. Cependant, l’historique des pertes pouvant être jugé insuffisant, la tarification risque de refléter une certaine marge d’incertitude.

Malgré tous ces défis, d’aucuns croient que la cyberassurance représente une opportunité intéressante pour les marchés de capitaux. Revenus diversifiés, efficacité garantie et résultats binaires peuvent attirer des fonds sur le marché de l’Insurance Linked Security. Les marchés de capitaux peuvent finalement agir comme un complément à la réassurance, permettant aux assureurs qui font face à des contraintes de capitaux limités pour compléter leurs programmes.

La cyberguerre et les limites de l’assurance

Toutefois, des questions subsistent quant à la disponibilité d’une couverture d’assurance pour une cyberattaque de nature terroriste. Certains assureurs suggèrent que la loi américaine du Terrorism Risk Insurance (anciennement TRIA) ne s’applique uniquement que dans le cas d’une attaque axée sur une infrastructure. D’autres suggèrent que la TRIA est suffisamment explicite sur les modes d’attaque et que les cyberattaques n’y sont pas mentionnées. Il faut préciser que la loi a été rédigée en 2001 afin de répondre à un type d’événements très différent d’une cyberattaque.

La cyberguerre est également un sujet de discussion et constitue une partie active des stratégies militaires de la plupart des grands pays industrialisés. Cela dit, de nombreux observateurs de l’industrie suggèrent que la menace d’une cyberguerre à l’échelle mondiale est exagérée, le sort des économies majeures (notamment les États-Unis, l’Europe, la Chine ou la Russie) étant étroitement lié.

De surcroit, une cyberattaque visant les États-Unis ou l’Europe paralyserait en premier lieu la croissance des économies émergentes. Ce qui est plus inquiétant, ce n’est donc pas la cyberguerre, mais plutôt la pratique croissante de la violation de secrets commerciaux et d’informations confidentielles. L’assurance n’est donc pas le bon instrument pour gérer ce type de risques, Et c’est aux gouvernements des pays cibles qu’il revient de gérer de façon « agressive » cette menace.