Si beaucoup d’acteurs estiment que ce type d’assurance est attrayant, d’autres la jugent non maîtrisable
Alors que ce type de couverture est jugé attrayant par beaucoup d’assureurs d’entreprises, un grand réassureur, lui, l’estime non maîtrisable
Les cyberassurances passent à nouveau domaine de croissance attrayant. Certains assureurs européens, tel le britannique Hiscox, réalisent la moitié de leur encaisse de primes par le biais d’assurances pour PME et la couverture de cyberrisques.
Mais tous les assureurs ne partagent pas cet optimisme face à ce nouveau domaine de croissance. Victor Peignet fait partie des sceptiques, comme on l’a vu à la dernière réunion des réassureurs à MonteCarlo. Chez Scor, le réassureur français, il dirige les activités choses et sinistres pour le monde entier. Scor a certes mis sur pied une équipe cyberrisque, ce qui est en général, chez les assureurs directs et les réassureurs, le premier pas avant de se lancer dans une nouvelle activité. «Mais nous sommes très prudents dès lors qu’il s’agit d’assurer des cyberrisques», dit-il.
Il y a plusieurs causes à cette prudence. Selon Victor Peignet, la plus importante tient au fait qu’il peut suffire de quelques secondes pour qu’un cyberrisque devienne un problème global. En plus, on manque d’expérience quant à la taille et aux risques actuariels de ce domaine. Pour lui, les assureurs ne comprennent pas toujours les risques inhérents et il se peut qu’on assiste à une accumulation de risques susceptible de se transformer pour l’industrie de l’assurance en «événement choc». Autrement dit, cela pourrait engendrer des faillites parmi les assureurs.
Un petit sondage parmi les assureurs suisses indique une réponse différenciée. Le spectre des évaluations va de la prudence à l’optimisme. «Le fait est que l’estimation des cyberrisques est en soi très compliquée, car il existe sans cesse de nouvelles formes de cybercriminalité, explique Nicole Hess, porte-parole de la Bâloise. Mais pour le moment nous partons de l’idée que, dans l’ensemble, ces risques sont assurables.» «Nous sommes d’avis que les cyberrisques restent difficiles à jauger et à contrôler, convient aussi Nadja Häberli, porte-parole d’Helvetia. Mais nous pensons également qu’à l’aide d’une stratégie client ciblée et de définitions claires et structurées de la couverture, ces risques sont gérables. Il va de soi que cela suppose un tracking permanent et une estimation des diverses expositions et des portefeuilles. Les portefeuilles qui comportent de tels risques et qui sont protégés par les mesures techniques et organisationnelles nécessaires sont plus faciles à estimer et à contrôler.»
Adaptations incessantes
«Tandis qu’au début des années 2000 on a surtout vu des banques et des assurances s’intéresser aux cyberassurances, l’intérêt général augmente sensiblement depuis 2016, constate Nicole Horbelt, porte-parole d’AXA. Nous voyons la cyberassurance comme un complément au concept de sécurité informatique d’une entreprise.» Aucune société n’est évidemment intéressée à ce que tout s’arrête, à ce que les données de la clientèle ou même des secrets d’entreprise soient volés et qu’il en résulte un dommage de réputation.
«Nous adaptons sans relâche les produits aux nouveaux cyberrisques», souligne la porte-parole de Zurich Assurances, Cornelia Birch. Ces dernières années, ditelle, beaucoup de grandes entreprises ont acheté des polices de cyberassurance. «Depuis deux ans, nous constatons une forte croissance dans le mid market et le segment PME.» Le besoin des entreprises d’être assurées dans ce domaine devrait continuer de croître fortement.
Zurich est l’assurance directe suisse à la plus large assise. Elle propose des cyberassurances identiques dans vingt pays, adaptées à chaque fois aux besoins particuliers des PME et des grandes entreprises. La variante PME couvre les cas de responsabilité civile à la suite d’une violation des données et intervient pour les coûts de la reconstitution des données et de l’assainissement des virus, ainsi que pour les pertes essuyées en cas d’interruption d’exploitation. En outre, la cyberassurance comporte une composante d’assurance protection juridique. «Et nous conseillons et soutenons les PME pour les mesures de sécurité utiles», souligne Cornelia Birch. Le niveau de la prime dépend entre autres du périmètre de la couverture et de la taille de l’entreprise. Pour les polices de grandes entreprises, il existe des couvertures flexibles incluant l’analyse des risques et un service de gestion de crise.
Transfert aux réassureurs
«Combinées avec des mesures techniques et organisationnelles, les cyberassurances complètent à merveille la gestion des risques d’une entreprise et contribuent ainsi à une protection exhaustive», indique Nadja Häberli, chez Helvetia. Au-delà de la prise en charge d’éventuels coûts qui peuvent naître d’un cyberincident, la cyberassurance offre également l’accès à un réseau d’experts. «Nous avons développé des modèles de cumul de sinistres en fonction des divers scénarios, poursuit Nadja Häberli. Nous contrôlons sans relâche nos portefeuilles et adaptons nos modèles aux connaissances les plus récentes. En cas de franchissement des limites que nous avons fixées, nous transférons les risques concernés à des concepts de réassurance.» A quoi Nicole Hess, de la Bâloise, ajoute: «Nous travaillons avec un réassureur. En tant qu’assureur direct, nous pouvons ainsi mieux maîtriser le risque.» Pour les entreprises, la question de la répercussion des risques à un assureur fait partie des réflexions de gestion du risque. «Indépendamment de l’importance qu’une entreprise attache à la cyberprévention, il reste toujours un risque résiduel», conclut Nicole Hess.
La seule taille d’une entreprise ne doit pas être déterminante, estime Cornelia Birch, chez Zurich. Pour elle, les clients attachent plus de valeur à un portefeuille de produits aussi large que possible et à un accompagnement international durable qui tienne compte également des conditions locales. «Une capacité financière solide est aussi décisive pour le choix d’un assureur, afin que des besoins éventuels puissent être couverts en tout temps», ditelle. «Pour ce qui est des cyberrisques, le problème est que la statistique ne fournit, sur la base des données passées, qu’un éclairage limité sur l’avenir, car les cyberrisques évoluent de jour en jour, reconnaît avec fatalisme Nicole Horbelt, d’AXA. L’avenir dira comment l’industrie de l’assurance se débrouille avec l’assurabilité.»
▅
Pour les polices de grandes entreprises, il existe des couvertures flexibles comprenant l’analyse des risques et un service de gestion de crise