Un nouveau rapport de Lockton Re examine l’état de préparation et la réaction probable des secteurs de l’assurance et de la réassurance face à une cyber-catastrophe majeure.
L’événement hypothétique, baptisé Ivan Wiper, est abordé dans le cadre d’entretiens avec les leaders du marché de la chaîne de valeur de l’assurance cybernétique. « C’est un domaine qui a été négligé dans les discussions sur le risque systémique », déclare Oliver Brew, coauteur du rapport intitulé A Kaleidoscope of Possibilities : Preparing for Ivan Wiper.
Logiciels malveillants destructeurs à diffusion automatique
« Nous avons choisi un logiciel malveillant hypothétique et destructeur qui se propage de lui-même (appelé Ivan Wiper) et nous sommes partis d’un point de vue moyen pour évaluer son impact au niveau mondial. Nous nous sommes entretenus avec des experts de notre secteur d’activité afin de prendre en compte à la fois la compréhension et l’impact. Les points de vue des différents experts de la chaîne de valeur ont été essentiels pour ce document », explique-t-il.
Dans le scénario, le logiciel malveillant, parrainé par un groupe criminel sophistiqué affilié à un État, s’attaque à des systèmes d’exploitation couramment utilisés. « L’objectif est d’étudier la manière dont le marché de l’assurance cybernétique réagira à la suite d’une cyber-catastrophe majeure », écrivent les auteurs du rapport.
Principales conclusions
Parmi leurs principales conclusions, les chercheurs affirment qu’il est peu probable que la capacité d’intervention en cas d’incident soit suffisante pour gérer les demandes d’indemnisation et le traitement en souplesse.
Certains réassureurs et assureurs pourraient se retirer du marché de la cyberassurance — il y aura des gagnants et des perdants, disent-ils — mais la catastrophe pourrait s’avérer être un catalyseur pour le développement de produits. « Certaines parties de la chaîne de valeur connaîtront des changements transformationnels », écrivent les chercheurs.
Ils ajoutent qu’un tel scénario ne serait pas existentiel pour l’industrie. Si l’on considère les catastrophes passées, notamment les ouragans, les tremblements de terre de grande ampleur et les attentats terroristes, ils soulignent que l’industrie a toujours su rebondir après une catastrophe de ce type.
Dans l’hypothèse d’une perte de 28,4 milliards de dollars (tous les chiffres sont exprimés en dollars américains), le montant médian modélisé dans le scénario, ils soulignent qu’il ne s’agit pas d’un montant insurmontable à couvrir. « Il s’agit certainement d’un choc ayant un impact sur le capital, mais en aucun cas d’un choc existentiel », précisent-ils.
Percée du marché de l’assurance cybernétique
Les auteurs du rapport n’abordent pas la question de la faible pénétration de la cyberassurance dans le monde des affaires ni la crainte de nombreux assureurs d’entrer sur ce marché. Ils soulignent toutefois qu’une catastrophe cybernétique majeure ferait grimper le taux de pénétration.
« Même sur les marchés matures, de nombreuses entreprises ne souscrivent toujours pas d’assurance cybernétique », dit-on dans le rapport. Une cyber-catastrophe ferait soudainement prendre conscience de la nécessité d’une couverture.
« Il y aura une augmentation spectaculaire de la demande, bien qu’à des prix élevés, ce qui créera une opportunité qu’on ne voit qu’une fois dans une vie », ajoutent les chercheurs.
Dans le rapport, on cite Daniel Carr, responsable de la cyberassurance chez Ariel Re, qui fait observer que « nous avons l’habitude de souscrire en regardant dans le rétroviseur, au lieu de regarder ce qui se trouve devant nous ».