les cyberrisques silencieux, c'est-à-dire les situations où les polices ne précisent pas explicitement si les cyberrisques sont couverts ou exclus (couverture non affirmative), demeurent une préoccupation majeure pour les autorités de surveillance.
C’est un des conclusions du récent rapport, Cyber insurance unpacked: the corporate digital safety net, publié par l'Association internationale des contrôleurs d'assurance (AICA) et rédigé par des membres du Financial Stability Institute (FSI) de la Banque des règlements internationaux (BRI).
Le document examine en profondeur les préoccupations des autorités de surveillance règlementaire à l'égard des cyberrisques et de l'évolution du marché de l'assurance cyber à l'échelle mondiale. Les auteurs indiquent notamment que les rançongiciels deviennent la principale source de pertes liées aux cyberrisques.
Selon leur analyse, la tarification de la cyberassurance pose des défis particuliers en raison du peu de données historiques disponibles, de l'évolution constante des cybermenaces et de l'interconnexion des écosystèmes numériques.
« Les modèles actuariels traditionnels, qui reposent sur l'hypothèse de distributions de risque stables, peinent à tenir compte des caractéristiques non stationnaires et systémiques du cyberrisque », écrivent les chercheurs en anglais. Ils ajoutent que le risque d'accumulation constitue une préoccupation majeure en matière de souscription en cyberassurance.
« La croissance du marché de la souscription en cyberassurance doit se faire avec prudence, ajoutent-ils. Le marché ne peut pas répondre pleinement à l'ensemble des cybermenaces et des vulnérabilités. »
Plus loin, les auteurs du rapport poursuivent en affirmant que le développement du marché de la cyberassurance doit reposer sur des pratiques solides. Le marché mondial de la cyberassurance représentait 15,4 milliards de dollars américains en primes directes souscrites en 2024.
Quatre principaux types d'incidents malveillants
Selon le rapport, la majorité des pertes liées aux cyberrisques proviennent de quatre principaux types d'incidents malveillants : les attaques par rançongiciel, la compromission des courriels d'entreprise, les attaques par déni de service distribué et les atteintes à la protection des données.
Les polices visant à couvrir ces risques varient considérablement selon les assureurs et les territoires, précisent les auteurs. Ils soulignent également que les cyberincidents peuvent donner lieu à des réclamations en vertu de plusieurs polices qui se chevauchent. « De tels chevauchements peuvent contribuer au risque d'accumulation », ajoutent-ils.
L'une des principales préoccupations des organismes de règlementation et de surveillance au fil des ans est celle de la couverture non affirmative. « Elle pourrait entraîner des pertes importantes pour les assureurs, même s'ils n'avaient pas l'intention d'offrir une telle couverture », indique le rapport.
« Les polices d'assurance de biens, de responsabilité et d'assurances spécialisées qui ne précisent pas si les cyberrisques sont couverts peuvent donner lieu à des pertes découlant de cyberincidents au titre de garanties non liées à l'assurance cyber, sans que ces risques aient été explicitement souscrits ou tarifés. »
Les auteurs ajoutent que la couverture non affirmative n'est pas un phénomène nouveau. « Les politiques de souscription des assureurs et le suivi de leurs portefeuilles doivent préciser explicitement la façon dont le cyberrisque — qu'il soit affirmatif ou non affirmatif — est pris en compte, limité et déclaré au regard des limites de souscription applicables aux activités d'assurance cyber et non cyber. »
Le rapport porte également sur les risques silencieux liés à l'intelligence artificielle, la souscription et la tarification, les risques liés aux tiers, l'écart de protection existant, les moyens d'y remédier ainsi que les attentes des autorités de surveillance.
« Les autorités de surveillance peuvent s'attendre à ce que les assureurs démontrent comment les simulations de crise influencent non seulement la planification du capital, mais aussi la discipline en matière de tarification de la cyberassurance ainsi que les décisions visant à accroître, restreindre ou retirer leur capacité de souscription », écrivent les auteurs.
Le rapport encourage également les autorités de surveillance à suivre de près certaines tendances afin de s'assurer que les pratiques de gestion des risques des assureurs demeurent solides et capables de s'adapter.