Les conflits géopolitiques modernes s’étendent de plus en plus au cyberespace. Morningstar DBRS affirme que même en période de cessez-le-feu, la cyberguerre peut se poursuivre au-delà des opérations physiques.
Malgré ce risque, l’agence de notation souligne que le marché actuellement souple de la cyberassurance devrait persister, à moins qu’un sinistre cyber majeur ne vienne modifier de façon significative les attentes du marché quant aux réclamations futures.
Elle précise également que les exclusions liées à la guerre dans les polices seront sérieusement mises à l’épreuve dans le contexte du conflit actuel, puisque « des cyberopérations liées à des États jouent un rôle important dans la guerre en Iran ».
Dans son plus récent commentaire, intitulé en anglais Rising Geopolitical Tensions Elevate Cyber Tail Risks, but Market Fundamentals Hold, Morningstar DBRS ajoute que la guerre en Iran entraînera, à moyen terme, une hausse de la cyberactivité, ce qui devrait stimuler la demande pour des produits de cyberassurance.
À l’échelle mondiale, les acheteurs de ce type de couverture ont généralement bénéficié de tarifs en baisse dans la plupart des régions, soutenus par des pertes assurées limitées, des conditions resserrées ainsi qu’une concurrence et une capacité accrues du côté de la réassurance.
« Le marché de l’assurance cyber repose sur un partage important des risques, les réassureurs assumant généralement une part significative de l’exposition globale, ce qui reflète l’incertitude persistante quant à la fréquence et à la gravité des sinistres », indique Morningstar DBRS, ajoutant qu’aucun événement cyber systémique majeur survenu depuis 2023 ne s’est reflété dans les renouvellements de réassurance. Sur le marché américain, les analystes notent que les conditions ont mené à des réductions de tarifs d’environ 30%.
Une vulnérabilité structurelle clé
Cela dit, les cyberattaques persistent en raison de leur coût relativement faible, de leur facilité de déploiement et des difficultés liées à l’attribution. « À notre avis, les cyberattaques destructrices menées par des groupes liés à des États ou agissant par procuration pourraient constituer le principal scénario de risque extrême à l’avenir », notent les auteurs du commentaire de Morningstar DBRS.
« Le risque d’accumulation cyber (c’est-à-dire le risque qu’une seule attaque puisse avoir des répercussions étendues) est devenu une vulnérabilité structurelle clé pour les assureurs et les réassureurs au cours des dernières années. » Ils précisent que ce risque d’accumulation pourrait être fortement amplifié à mesure que les tensions augmentent la probabilité d’attaques destructrices.
« Les assureurs examinent de près les exclusions liées à la guerre dans les polices d’assurance cyber », poursuivent-ils, précisant que ces exclusions ont été élargies afin de couvrir les cyberincidents liés à des acteurs soutenus par des États.
« La formulation standard du marché en matière d’exclusions s’est éloignée du débat visant à déterminer si un incident constitue une “guerre”, pour privilégier un test fondé sur des seuils, axé sur le fait de savoir si une opération cyber cause un impact préjudiciable majeur aux services essentiels d’un État, tels que la production d’électricité, les télécommunications ou les infrastructures financières. Cette approche fondée sur des seuils protège les assureurs contre des pertes généralisées à l’échelle nationale, tout en maintenant la couverture pour les cyberattaques touchant des entités commerciales individuelles. En pratique, l’application de ces exclusions varie considérablement », ajoutent les analystes.
« À notre avis, cette formulation des exclusions sera sérieusement mise à l’épreuve dans le contexte du conflit actuel. »
