LES RISQUES INCORPORELS

La va­leur de beau­coup d’en­tre­prises re­pose pour l’es­sen­tiel sur des ac­tifs dits in­tan­gibles com­pli­qués à as­su­rer

Le Nouvel Économiste - - LA UNE -

Le dé­ve­lop­pe­ment des as­su­rances ma­ri­times il y a des cen­taines d’an­nées fut une ré­vo­lu­tion qui a mar­qué le dé­but des as­su­rances com­mer­ciales, pro­té­geant contre les risques de pillage, les in­cen­dies et les pé­rils liés au com­merce en haute mer. Mais au XXIe siècle, la va­leur des en­tre­prises re­pose moins sur des biens phy­siques, comme des ba­teaux ou des im­meubles, que sur des biens non phy­siques, in­tan­gibles, comme la pro­prié­té in­tel­lec­tuelle, les don­nées ou la ré­pu­ta­tion. Au­jourd’hui, les ac­tifs ayant le plus de va­leur ont plus de pro­ba­bi­li­tés d’être sto­ckés dans le cloud que dans un han­gar, dit In­ga Beale, pré­si­dente de Lloyds of Lon­don.

Alors que les éco­no­mies oc­ci­den­tales s’éloignent peu à peu de l’in­dus­trie ma­nu­fac­tu­rière pour al­ler vers une éco­no­mie de ser­vices et d’in­for­ma­tion, le conte­nu des ac­tifs a éga­le­ment chan­gé. Les ac­tifs in­tan­gibles peuvent être dif­fi­ciles à dé­fi­nir, et

Les ac­tifs in­tan­gibles re­pré­sentent en 2015 84 % de la va­leur des en­tre­prises de l’indice S&P 500, contre 17 % en 1975,

à tra­duire en dol­lars (les normes in­ter­na­tio­nales de comp­ta­bi­li­té les dé­fi­nissent comme im­mo­bi­li­sa­tions in­cor­po­relles). Et pour­tant, leur crois­sance est in­dé­niable. En 2015, ils re­pré­sentent 84 % de la va­leur des en­tre­prises de l’indice S&P 500, contre 17 % en 1975, a es­ti­mé Ocean To­mo, une banque d’af­faires. Ce­la ne re­flète pas que l’es­sor des géants dont le suc­cès re­pose sur les al­go­rithmes. Les in­dus­tries ma­nu­fac­tu­rières ont éga­le­ment évo­lué, ven­dant dé­sor­mais des don­nées col­lec­tées par des cap­teurs in­tel­li­gents aux cô­tés des mo­teurs d’avions et des per­ceuses élec­triques. L’im­por­tance des va­leurs in­tan­gibles s’est ac­crue et le be­soin des en­tre­prises de se pré­mu­nir contre les risques s’est éga­le­ment ac­cru. Il s’agit sur­tout de deux types de me­naces : Les dom­mages les af­fec­tant (par exemple des at­teintes à la ré­pu­ta­tion cau­sées par un tweet mal­veillant ou un pi­rate in­for­ma­tique) ; ou bien les concer­nant di­rec­te­ment (par exemple des risques de vol ou de dys­fonc­tion­ne­ments en­traî­nés par une cy­be­rat­taque). Et pour­tant, la pos­si­bi­li­té de s’as­su­rer contre de tels risques n’a pas sui­vi leur dé­ve­lop­pe­ment. “Le chan­ge­ment est im­mense et le risque est énorme, af­firme Ch­ris­tian Re­ber du Bos­ton Con­sul­ting Group. Mais le sec­teur des as­su­rances n’en est qu’aux bal­bu­tie­ments pour trou­ver des so­lu­tions et ré­pondre à ce manque.” Les exemples de dom­mages po­ten­tiels ne sont pas dif­fi­ciles à trou­ver. En fé­vrier 2018, un tweet de Ky­lie Jen­ner, une cé­lé­bri­té avec plus de 25 mil­lions d’abon­nés sur Twit­ter, de­man­dait de fa­çon rhé­to­rique si des gens uti­li­saient en­core Snap­chat. Ce­la a coïn­ci­dé avec une chute de 6 % du titre Snap en bourse, la mai­son mère de l’ap­pli­ca­tion de mes­sa­ge­rie. NotPe­tya, un lo­gi­ciel ran­çon­neur très ac­tif l’an­née der­nière, a pro­ba­ble­ment cau­sé plus de 3 mil­liards de dol­lars de pertes aux en­tre­prises. Un des pre­miers évé­ne­ments à aler­ter les en­tre­prises amé­ri­caines sur les risques in­tan­gibles fut le pi­ra­tage du géant de la dis­tri­bu­tion Tar­get en 2013, qui a cau­sé le vol des don­nées per­son­nelles de plus de 70 mil­lions de clients, la chute du chiffre d’af­faires et des bé­né­fices, ain­si que des pro­cès qui ont coû­té des mil­lions à l’en­tre­prise.

Les en­tre­prises n’ou­blient pas. Celles qui ont ré­pon­du à un son­dage de la com­pa­gnie d’as­su­rances Aon ont in­di­qué que la ré­pu­ta­tion était le pre­mier risque qui les pré­oc­cu­pait (en hausse de 4 points par rap­port à 2013), et le cy­ber-risque ar­ri­vait en 5e po­si­tion (18e en 2013). Mais il y a une grande dif­fé­rence entre la per­cep­tion des ma­na­gers de risques et celle de leurs boards. Et si les en­tre­prises cherchent à s’as­su­rer contre cer­tains de ces risques, on ne peut pas vrai­ment dire que les as­su­reurs les inondent de nou­veaux pro­duits d’as­su­rances. “Même lorsque les po­lices sont iden­ti­fiées comme ‘ in­no­vantes’, c’est gé­né­ra­le­ment pour as­su­rer des ac­tifs phy­siques dans la nou­velle éco­no­mie du par­tage, et non pas des im­mo­bi­li­sa­tions in­cor­po­relles” dit Mag­da Ra­ma­da de Willis To­wers Wat­son, une autre com­pa­gnie d’as­su­rances. Mais dans le monde d’Airbnb, qui est de fait la pre­mière chaîne hô­te­lière au monde et qui pour­tant ne pos­sède au­cun hô­tel, d’Uber, la plus grande en­tre­prise de VTC et qui n’en pos­sède pas un seul, de telles po­li­tiques ont peu d’ef­fets. Les spé­cia­listes qui pro­tègent des ac­tifs comme les don­nées, le code IP et la ré­pu­ta­tion, ont sou­vent des pro­duits chers et sur me­sure avec des clauses d’ex­clu­sion et des li­mites strictes.

On peut com­prendre la pru­dence des as­su­reurs. Les risques in­tan­gibles ne sont pas seule­ment nou­veaux et com­plexes. “Ils sont un peu comme la ge­lée qui n’a pas to­ta­le­ment fi­ni de se so­li­di­fier, dit Ju­lia Gra­ham d’Air­mic, un or­ga­nisme de re­pré­sen­ta­tion des com­mer­çants. Leur forme change constam­ment.” Les as­su­reurs aiment bien se ba­ser sur des don­nées sur les évé­ne­ments pas­sés, aus­si bien leur fré­quence que l’ex­po­si­tion ac­tuelle des clients, ce qui peut être qua­si­ment im­pos­sible lors­qu’on parle d’un risque de cy­be­rat­taque, de scan­dale lié au har­cè­le­ment sexuel – risque qui au­rait été éva­lué très dif­fé­rem­ment il y a deux ans – ou d’un tweet envoyé par une cé­lé­bri­té (Le prix de l’ac­tion Snap a chu­té de plus d’un tiers du­rant les six der­niers mois, ce qui ré­vèle des pro­blèmes plus pro­fonds que le simple com­men­taire de Melle Jen­ner.) “Le pro­blème avec les im­mo­bi­li­sa­tions in­cor­po­relles est qu’elles ont des fron­tières floues, et les as­su­reurs ont be­soin de clar­té pour tra­vailler” dit Da­vid Teece de l’Uni­ver­si­té de Ca­li­for­nie.

Mais cer­tains as­su­reurs com­mencent à avoir des po­li­tiques adap­tées aux en­jeux. L’un est la cou­ver­ture pa­ra­mé­trique, qui consiste à payer au­to­ma­ti­que­ment une somme fixe après chaque évé­ne­ment pré­cé­dem­ment dé­fi­ni, comme un pi­ra­tage in­for­ma­tique par exemple. L’avan­tage de telles po­lices, c’est qu’elles peuvent dé­ga­ger de l’ar­gent li­quide im­mé­dia­te­ment, ré­pon­dant ain­si aux be­soins sui­vant l’in­ci­dent. L’in­con­vé­nient de ces pro­duits est qu’il a ten­dance à ne cou­vrir qu’une par­tie des dom­mages.

Cer­tains risques, na­guère im­pos­sibles à as­su­rer, peuvent dé­sor­mais être au moins par­tiel­le­ment cou­verts grâce à des avan­cées dans la mo­dé­li­sa­tion, la struc­ture des in­dem­ni­tés et d’autres pa­ra­mètres, af­firme Tho­mas Holz­heu du ré­as­su­reur Swiss Re. Les exemples in­cluent l’in­ter­rup­tion de l’ac­ti­vi­té, les cy­ber-risques, les dom­mages liés à la ré­pu­ta­tion et le prix de l’éner­gie. Une étude me­née par Swiss Re en­tend cou­vrir les hô­te­liers contre une chute dans le taux d’oc­cu­pa­tion des hô­tels après des grandes per­tur­ba­tions dans les tran­sports ou après une pan­dé­mie, ain­si qu’une po­lice pour les com­pa­gnies aé­riennes concer­nant les an­nu­la­tions de vols cau­sées par des évé­ne­ments cri­tiques qui n’en­dom­magent pas les aé­ro­ports ni les avions, mais bloque pour­tant le tra­fic aé­rien.

La plu­part des ac­tions en­tre­prises l’ont été dans le do­maine de la cybersécurité. Les pre­mières po­lices pre­naient en compte les coûts d’une attaque – en payant pour re­lan­cer un da­ta­cen­ter ou pour la ges­tion de crise – mais les as­su­reurs pro­posent aus­si dé­sor­mais des offres “ho­lis­tiques”, qui couvrent éga­le­ment les ré­per­cus­sions comme les dom­mages phy­siques, la perte de re­ve­nus et les frais de jus­tice. Mais en même temps, les as­su­reurs sont de­ve­nus plus conscients du risque “si­len­cieux” que re­pré­sentent les cy­ber-risques dans une po­lice. De plus en plus, ils les ex­cluent des contrats tra­di­tion­nels, comme par exemple sur la pro­prié­té, ou alors, ils les vendent avec supplément. Il existe en­core un énorme écart à com­bler en ma­tière de cou­ver­ture et d’as­su­rance. Le cy­ber­crime a en­traî­né en­vi­ron 550 mil­liards de dol­lars de pertes l’an­née der­nière, d’après Aon. Les en­tre­prises ne sont cou­vertes qu’à hau­teur de 15 % des risques de dom­mages liées au cy­ber-risque, contre 59 % pour ceux liés à la pro­prié­té ou aux équi­pe­ments.

Les en­tre­prises de­vraient éga­le­ment faire da­van­tage pour se pro­té­ger. Tout comme les as­su­rances n’étaient qu’une par­tie de la ré­ponse aux risques ma­ri­times et d’in­cen­dies au­tre­fois, elles ne sont éga­le­ment qu’une par­tie de la ré­ponse aux pé­rils mo­dernes. “Au lieu d’ache­ter une po­lice contre une ré­pu­ta­tion en­dom­ma­gée, les en­tre­prises de­vraient avant tout faire en sorte que ce­la n’ar­rive pas” conseille Ri­chard Wer­gan d’Edel­man, une agence de mar­ke­ting et de re­la­tions pu­bliques. Beau­coup de failles de sé­cu­ri­té in­for­ma­tique au­raient cer­tai­ne­ment pu être évi­tées si les mises à jour lo­gi­cielles avaient été faites, tout sim­ple­ment. Les as­su­reurs doivent rat­tra­per l’ère de l’in­tan­gible, mais leurs clients éga­le­ment.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.