Alors que la demande concernant des programmes d’assurance couvrant le cyberrisque augmente, les souscripteurs se doivent d'acquérir une meilleure compréhension du marché et de travailler conjointement pour évaluer correctement le risque et la tarification. C’est ce qu’il ressort du panel qui s’est tenu à l’occasion de l’Insurance Conference 2015, organisée par Standard & Poor's le 10 juin dernier à New York.
Les risques cybernétiques évoluent rapidement, et même les assureurs qui possèdent de grandes parts de marché (notamment AIG, ACE, Chubb, Zurich ou encore Beazley) se montrent jusqu'ici relativement prudents, offrant des polices avec des limites relativement basses et un grand nombre d'exclusions. Le manque de données actuarielles disponibles dans ce marché naissant serait l’une des causes principales de ce constat.
« On pourrait penser que la première question à se poser serait : les assurés comprennent-ils les éléments et les limites de la couverture?, affirme Kevin Kalinich, en charge du cyberrisque pour le cabinet de conseil Aon Risk Services. La vraie première question serait plutôt : est-ce que les compagnies d'assurance les comprennent? ».
Comme le marché se développe, il faudra un certain temps pour que les fournisseurs puissent modéliser suffisamment le risque et donc, fixer les primes en conséquence. Ce sera difficile, selon M. Kalinich, parce que la menace évolue très vite alors que deux décennies de données fiables sont nécessaires pour alimenter des modèles.
« Nous sommes rendus beaucoup plus loin que nous l'étions il y a deux ans, nous avons une bien meilleure connaissance, explique-t-il. Mais le cyberrisque n’est pas un modèle statique. Il évolue dans le temps, et dans deux ans, il sera encore plus développé. »
À cette fin, les régulateurs ont pris des mesures pour guider les assureurs vers une approche cohérente de la question. L'Association nationale des commissaires en assurance (NAIC), qui établit des normes pour les États-Unis et aide à coordonner la surveillance réglementaire des commissions d'assurance des différents États, a récemment adopté des principes directeurs pour les assureurs qui souscrivent des offres contre le cyberrisque. La NAIC développe également un guide des meilleures pratiques afin de tester des protocoles et des processus.
Enfin, l’association se penche sur un projet de loi lié aux droits des consommateurs, afin que ces derniers soient informés en cas de violation de leurs données.