Les questions clés en une minute
- Avec les contrats IARD classiques, l’exposition aux cyber-risques, dits “silencieux“ crée de l’incertitude pour les clients, les courtiers et les assureurs.
- La nature du risque cyber évolue en permanence, avec des attaques plus élaborées, mieux ciblées et plus vastes.
- La plupart des contrats classiques ont été conçus lorsque le risque cyber n’était pas si important. Ils ne mentionnent pas explicitement ce risque et, parfois, ne le prévoient même pas.
- AGCS a été nommé Centre de compétences en assurance cyber afin de mettre en œuvre une approche cohérente de souscription des cyber-risques au sein du Groupe Allianz, dans le monde entier.
Ce n’était qu’un avant-goût d’un véritable “cyber ouragan“ à grande échelle, et pourtant, les effets ont été désastreux sur de nombreuses entreprises à travers le monde.
En 2017, de vastes cyber-attaques, comme Petya et NotPetya ou WannaCry, ont entraîné des sinistres majeurs pour les entreprises : la valeur assurée des pertes causées par Petya est estimée à 3,3 milliards de dollars. Ces attaques ont provoqué de fortes perturbations dans les systèmes et les entreprises de groupes internationaux, comme Merck et Maersk. Le laboratoire pharmaceutique Merck, de loin le plus touché, aurait perçu une indemnisation en assurance cyber d’environ 2 milliards de dollars. Le géant maritime Maersk a subi des pertes dépassant 300 millions de dollars1.
Selon PCS, société américaine spécialisée dans l’analyse des sinistres, près de 90 % des pertes subies par les entreprises à cause de Petya et de NotPetya sont attribuables aux cyber-risques dits ‘silencieux’. Ces risques peuvent entraîner des pertes dans le cadre de contrats d’assurance classiques IARD et RC qui n’ont pas été conçus pour les couvrir. Comme le montrent ces incidents, les sinistres cyber peuvent mettre en jeu de nombreuses autres assurances que les couvertures cyber, comme l’interruption d’activité (BI), les erreurs et omissions (E&O) ou le kidnapping avec demande de rançon (K&R).
«Les attaques WannaCry et NotPetya de 2017 ont révélé les risques et les dommages potentiels pesant sur tous les secteurs d’activité, et posé des problèmes majeurs concernant les cyber-risques dans les polices IARD traditionnelles», explique Emy Donavan, directrice mondiale de l’assurance du risque cyber et technologique chez AGCS.
L’explosion des cyber-risques
Ces dernières années, les cyber-risques ont pris une place majeure. En 2019, dans la huitième édition du baromètre des risques d’Allianz 2019, ils figurent pour la première fois au premier rang, ex æquo avec l’interruption d’activité. Les incidents cyber peuvent occasionner non seulement des pertes financières ou des perturbations importantes, mais aussi entraîner dommages matériels, interruption d’activité, rappel de produits, blessures, voire des conséquences fatales.
«La nature du risque cyber évolue rapidement et constamment avec des attaques plus élaborées, mieux ciblées et plus vastes», souligne Emy Donavan.
Les entreprises sont exposées à des « attaques de grande envergure, à vecteurs multiples et au moyen d’outils sophistiqués » qui dépassent souvent le niveau de maturité technologique des systèmes de sécurité informatique des entreprises2. Outre la cybercriminalité, les causes de pannes massives des systèmes ou de pertes de données sont les défaillances techniques, les bugs informatiques ou les erreurs humaines.
Les scénarios de cyber-risques silencieux sont, par exemple, le piratage d’un réseau de transport provoquant le déraillement d’un train, un logiciel malveillant infectant un système de navigation GPS, permettant ainsi la prise de contrôle d’un navire3, ou encore un piratage qui déclencherait l’ouverture des vannes d’un barrage hydraulique, causant de vastes inondations en aval4 et le jeu potentiel de l’assurance des biens endommagés.
Dans ces scénarios d’incidents liés à des risques informatiques ou technologiques, il n’est pas toujours facile de savoir si les contrats d’assurance classiques garantissent les pertes potentielles, dans la mesure où ils ne sont pas prévus pour couvrir le risque cyber.
«La plupart des contrats classiques ont été conçus lorsque les cyber-risques n’étaient pas encore importants, si bien qu’ils ne les mentionnent pas explicitement et, parfois, ne les prévoient même pas», explique Emy Donavan.
Face à ces risques silencieux, ou “non-dénommés“, les clients ne sont pas correctement protégés et les contrats n’apportent pas la certitude et la transparence indispensables à toutes les parties, clients, courtiers et assureurs. «Une nouvelle approche de l’assurance s’avère nécessaire pour prévenir efficacement ces nouveaux cyber-risques et clarifier les garanties pour les clients», ajoute Emy Donavan.
La nouvelle stratégie de souscription des cyber-risques d’Allianz
Le groupe Allianz passe actuellement en revue les cyber-risques au sein des contrats IARD, dans les branches d’assurance des risques commerciaux, industriels et spéciaux. Il a développé une nouvelle stratégie de souscription des cyber-risques silencieux qui permettra de mettre à jour et de préciser toutes les garanties des contrats IARD en la matière. Il a chargé AGCS de créer un Centre de compétences en assurance cyber pour l’ensemble du groupe.
«Nous préciserons les modalités de couverture des cyber-risques dans les contrats classiques, et les scénarios pour lesquels une solution d’assurance cyber est nécessaire», indique Emy Donavan. Cette nouvelle stratégie répond également aux préoccupations croissantes des régulateurs et des agences de notation concernant les expositions cyber des portefeuilles d’assurance.
Ce qui change
Pour les assurés, la situation sera différente selon la branche d’assurance, le marché et la réglementation. S’ils ne sont pas définis, les cyber-risques seront spécifiés dans les contrats. Il sera clairement indiqué dans quels cas les cyber-risques seront couverts par les contrats classiques et dans quels scénarios une solution d’assurance spéciale cyber sera nécessaire.
«Il n’existe pas d’approche universelle», explique Marek Stanislawski, directeur mondial adjoint de l’assurance du risque cyber et technologique chez AGCS.
Les assurés d’AGCS auront le choix entre différentes options pour adapter la couverture du risque cyber à leurs besoins particuliers et à leurs profils de risques, depuis une couverture affirmative dans les contrats IARD classiques jusqu’à la souscription d’un contrat d’assurance spéciale cyber, en passant par un avenant à un contrat d’assurance classique. Dans de nombreux cas, la définition des événements cyber sera ajoutée à la rédaction existante. (par exemple, une assurance des biens proposant une extension de garantie spéciale pour l’interruption d’activité due à un événement cyber).
«La mise en place d’une solution complète pour tous les produits est extrêmement difficile, mais elle est dans l’intérêt des clients et des courtiers, explique Marek Stanislawski. Elle permet de garder une expertise sur des cyber-risques spécifiques au sein des lignes de produits où ils sont habituellement souscrits. En outre, elle apporte aux clients plus de sécurité et d’avantages dans le cadre des contrats qu’ils ont déjà souscrits.»
Ce qui ne change pas
Dans les contrats IARD d’Allianz dont la rédaction est à jour, les dommages matériels et corporels liés à des événements cyber continueront généralement d’être couverts. Toutefois, les pertes financières “pures“ liées à des cyber-risques, sans dommages matériels ni corporels, ne seront couvertes que par des solutions affirmatives de cyber-assurance. (voir encadré).
Si le marché mondial commence seulement à se pencher sur les cyber-risques silencieux, Allianz est le premier assureur à s’engager dans l’information et la formation des acteurs du marché.
Cette nouvelle stratégie aidera Allianz à mieux évaluer son exposition cyber et à répondre aux régulateurs et aux agences de notation sur sa gestion de la souscription des risques cyber. De cette manière, Allianz souhaite pouvoir mieux gérer le risque d’agrégation cyber dans ses portefeuilles IARD, et constituer des provisions appropriées pour faire face aux scénarios de sinistres cyber majeurs qui pourraient toucher simultanément de multiples assurés.
Affirmative ou non affirmative?
Deux scénarios possibles
- COUVERTURE AFFIRMATIVE DANS UNCONTRAT CLASSIQUE : le piratage d’un logiciel industriel provoque une explosion dans une usine ; les dommages matériels et les pertes d’exploitation qui en résultent sont couverts par un contrat d’assurance IARD classique.
- COUVERTURE AFFIRMATIVE DANS UNCONTRAT OU AVENANT CYBER : un logiciel malveillant perturbe la fabrication des produits ou la prestation des services, et occasionne un manque à gagner, sans dommages matériels, pour l’entreprise ; la couverture de ces pertes financières “pures“ requiert un contrat d’assurance spéciale cyber ou un avenant à un contrat classique.
La réponse des régulateurs et des réassureurs
Les superviseurs financiers tirent la sonnette d’alarme sur les cyber-risques silencieux dans les portefeuilles d’assurance. L’autorité de supervision allemande Bafin a annoncé qu’elle étudierait plus attentivement les cyber-risques silencieux dans le secteur de l’assurance en 2019. L’autorité de régulation prudentielle britannique a vivement encouragé, dès 2017, les assureurs et les courtiers à traiter la question des cyber-risques. Dans le monde entier, les régulateurs ont entrepris une campagne de sensibilisation à grande échelle.
Les réassureurs aussi mettent les cyber-risques silencieux au premier rang de leurs priorités. Selon Doris Hoepke, membre du conseil d’administration de Munich Re, «les assureurs doivent examiner les cyber-risques silencieux dans leurs contrats classiques»5
Le sujet s’invite également dans l’agenda des courtiers. La division réassurance d’Aon a annoncé un mécanisme d’assurance des cyber-risques silencieux. La société de modélisation des catastrophes AIR Worldwide a collaboré avec le courtier en réassurance Capsicum Re pour identifier ses lignes non-cyber exposées aux cyber-risques. Enfin, l’enquête de Willis Towers Watson, intitulée 2018 Silent Cyber Outlook Survey, met en lumière les préoccupations croissantes soulevées par les cyber-risques silencieux.
«Je pense qu’en 2019, les cyber-risques silencieux vont faire du bruit, dit Emy Donavan. Le secteur doit s’attaquer à ce problème et proposer des solutions adaptées au risque cyber, qui figure aujourd’hui parmi les principaux risques des entreprises.»
Principaux avantages de la nouvelle stratégie de risque d'Allianz
- Transparence, clarté et sécurité de la couverture des cyber-risques pour les clients et les courtiers
- Règlement plus rapide des demandes d’indemnisation en cas de sinistre, grâce à la sécurité de la couverture cyber
- Contrats conçus pour la nouvelle génération de cyber-risques
- Solutions adaptées à la couverture des cyber-risques : couverture cyber intégrée dans un produit d’assurance IARD classique ou contrat d’assurance spéciale cyber
- Suppression des doublons “inconnus“ et comblement des lacunes dans les différentes couvertures pour les assurés
- Expertise en assurance des cyber-risques dans le nouveau Centre de compétences cyber
- Suivi du portefeuille et gestion des expositions pour Allianz, permettant une utilisation efficace de la capacité de souscription et une gestion optimale du capital
Évolution de la souscription d'assurances cyber
Avez-vous connu un cyber-incident l’année dernière?
Avez-vous souscrit une assurance cyber l’année dernière?
Les limites des couvertures d’assurance cyber sont actuellement suffisantes.
La couverture d’assurance cyber est correctement tarifée.
Une assurance cyber n’est pas nécessaire.
Télécharger le Global Risk Dialogue
[1] Artemis, Merck & silent cyber impacts drove Petya industry loss: PCS, 7 novembre 2018.
[2] Check Point, Achieving fifth generation cyber security: A survey research report of IT and security professionals, mars 2018.
[3] Willis Towers Watson, Silent cyber outlook: Is silent cyber risk creeping up on insurers?, 11 septembre 2017.
[4] Guidewire, Aon and Guidewire launch cyber scenario for a US dam attack, 25 octobre 2018.
[5] Baden-Baden Reinsurance Meeting, 2018.