LES RISQUES INCORPORELS
La valeur de beaucoup d’entreprises repose pour l’essentiel sur des actifs dits intangibles compliqués à assurer
Le développement des assurances maritimes il y a des centaines d’années fut une révolution qui a marqué le début des assurances commerciales, protégeant contre les risques de pillage, les incendies et les périls liés au commerce en haute mer. Mais au XXIe siècle, la valeur des entreprises repose moins sur des biens physiques, comme des bateaux ou des immeubles, que sur des biens non physiques, intangibles, comme la propriété intellectuelle, les données ou la réputation. Aujourd’hui, les actifs ayant le plus de valeur ont plus de probabilités d’être stockés dans le cloud que dans un hangar, dit Inga Beale, présidente de Lloyds of London.
Alors que les économies occidentales s’éloignent peu à peu de l’industrie manufacturière pour aller vers une économie de services et d’information, le contenu des actifs a également changé. Les actifs intangibles peuvent être difficiles à définir, et
Les actifs intangibles représentent en 2015 84 % de la valeur des entreprises de l’indice S&P 500, contre 17 % en 1975,
à traduire en dollars (les normes internationales de comptabilité les définissent comme immobilisations incorporelles). Et pourtant, leur croissance est indéniable. En 2015, ils représentent 84 % de la valeur des entreprises de l’indice S&P 500, contre 17 % en 1975, a estimé Ocean Tomo, une banque d’affaires. Cela ne reflète pas que l’essor des géants dont le succès repose sur les algorithmes. Les industries manufacturières ont également évolué, vendant désormais des données collectées par des capteurs intelligents aux côtés des moteurs d’avions et des perceuses électriques. L’importance des valeurs intangibles s’est accrue et le besoin des entreprises de se prémunir contre les risques s’est également accru. Il s’agit surtout de deux types de menaces : Les dommages les affectant (par exemple des atteintes à la réputation causées par un tweet malveillant ou un pirate informatique) ; ou bien les concernant directement (par exemple des risques de vol ou de dysfonctionnements entraînés par une cyberattaque). Et pourtant, la possibilité de s’assurer contre de tels risques n’a pas suivi leur développement. “Le changement est immense et le risque est énorme, affirme Christian Reber du Boston Consulting Group. Mais le secteur des assurances n’en est qu’aux balbutiements pour trouver des solutions et répondre à ce manque.” Les exemples de dommages potentiels ne sont pas difficiles à trouver. En février 2018, un tweet de Kylie Jenner, une célébrité avec plus de 25 millions d’abonnés sur Twitter, demandait de façon rhétorique si des gens utilisaient encore Snapchat. Cela a coïncidé avec une chute de 6 % du titre Snap en bourse, la maison mère de l’application de messagerie. NotPetya, un logiciel rançonneur très actif l’année dernière, a probablement causé plus de 3 milliards de dollars de pertes aux entreprises. Un des premiers événements à alerter les entreprises américaines sur les risques intangibles fut le piratage du géant de la distribution Target en 2013, qui a causé le vol des données personnelles de plus de 70 millions de clients, la chute du chiffre d’affaires et des bénéfices, ainsi que des procès qui ont coûté des millions à l’entreprise.
Les entreprises n’oublient pas. Celles qui ont répondu à un sondage de la compagnie d’assurances Aon ont indiqué que la réputation était le premier risque qui les préoccupait (en hausse de 4 points par rapport à 2013), et le cyber-risque arrivait en 5e position (18e en 2013). Mais il y a une grande différence entre la perception des managers de risques et celle de leurs boards. Et si les entreprises cherchent à s’assurer contre certains de ces risques, on ne peut pas vraiment dire que les assureurs les inondent de nouveaux produits d’assurances. “Même lorsque les polices sont identifiées comme ‘ innovantes’, c’est généralement pour assurer des actifs physiques dans la nouvelle économie du partage, et non pas des immobilisations incorporelles” dit Magda Ramada de Willis Towers Watson, une autre compagnie d’assurances. Mais dans le monde d’Airbnb, qui est de fait la première chaîne hôtelière au monde et qui pourtant ne possède aucun hôtel, d’Uber, la plus grande entreprise de VTC et qui n’en possède pas un seul, de telles politiques ont peu d’effets. Les spécialistes qui protègent des actifs comme les données, le code IP et la réputation, ont souvent des produits chers et sur mesure avec des clauses d’exclusion et des limites strictes.
On peut comprendre la prudence des assureurs. Les risques intangibles ne sont pas seulement nouveaux et complexes. “Ils sont un peu comme la gelée qui n’a pas totalement fini de se solidifier, dit Julia Graham d’Airmic, un organisme de représentation des commerçants. Leur forme change constamment.” Les assureurs aiment bien se baser sur des données sur les événements passés, aussi bien leur fréquence que l’exposition actuelle des clients, ce qui peut être quasiment impossible lorsqu’on parle d’un risque de cyberattaque, de scandale lié au harcèlement sexuel – risque qui aurait été évalué très différemment il y a deux ans – ou d’un tweet envoyé par une célébrité (Le prix de l’action Snap a chuté de plus d’un tiers durant les six derniers mois, ce qui révèle des problèmes plus profonds que le simple commentaire de Melle Jenner.) “Le problème avec les immobilisations incorporelles est qu’elles ont des frontières floues, et les assureurs ont besoin de clarté pour travailler” dit David Teece de l’Université de Californie.
Mais certains assureurs commencent à avoir des politiques adaptées aux enjeux. L’un est la couverture paramétrique, qui consiste à payer automatiquement une somme fixe après chaque événement précédemment défini, comme un piratage informatique par exemple. L’avantage de telles polices, c’est qu’elles peuvent dégager de l’argent liquide immédiatement, répondant ainsi aux besoins suivant l’incident. L’inconvénient de ces produits est qu’il a tendance à ne couvrir qu’une partie des dommages.
Certains risques, naguère impossibles à assurer, peuvent désormais être au moins partiellement couverts grâce à des avancées dans la modélisation, la structure des indemnités et d’autres paramètres, affirme Thomas Holzheu du réassureur Swiss Re. Les exemples incluent l’interruption de l’activité, les cyber-risques, les dommages liés à la réputation et le prix de l’énergie. Une étude menée par Swiss Re entend couvrir les hôteliers contre une chute dans le taux d’occupation des hôtels après des grandes perturbations dans les transports ou après une pandémie, ainsi qu’une police pour les compagnies aériennes concernant les annulations de vols causées par des événements critiques qui n’endommagent pas les aéroports ni les avions, mais bloque pourtant le trafic aérien.
La plupart des actions entreprises l’ont été dans le domaine de la cybersécurité. Les premières polices prenaient en compte les coûts d’une attaque – en payant pour relancer un datacenter ou pour la gestion de crise – mais les assureurs proposent aussi désormais des offres “holistiques”, qui couvrent également les répercussions comme les dommages physiques, la perte de revenus et les frais de justice. Mais en même temps, les assureurs sont devenus plus conscients du risque “silencieux” que représentent les cyber-risques dans une police. De plus en plus, ils les excluent des contrats traditionnels, comme par exemple sur la propriété, ou alors, ils les vendent avec supplément. Il existe encore un énorme écart à combler en matière de couverture et d’assurance. Le cybercrime a entraîné environ 550 milliards de dollars de pertes l’année dernière, d’après Aon. Les entreprises ne sont couvertes qu’à hauteur de 15 % des risques de dommages liées au cyber-risque, contre 59 % pour ceux liés à la propriété ou aux équipements.
Les entreprises devraient également faire davantage pour se protéger. Tout comme les assurances n’étaient qu’une partie de la réponse aux risques maritimes et d’incendies autrefois, elles ne sont également qu’une partie de la réponse aux périls modernes. “Au lieu d’acheter une police contre une réputation endommagée, les entreprises devraient avant tout faire en sorte que cela n’arrive pas” conseille Richard Wergan d’Edelman, une agence de marketing et de relations publiques. Beaucoup de failles de sécurité informatique auraient certainement pu être évitées si les mises à jour logicielles avaient été faites, tout simplement. Les assureurs doivent rattraper l’ère de l’intangible, mais leurs clients également.