Article

Assurance Cyber: l’assurance de demain?

Les catastrophes naturelles comme les ouragans ou les séismes remontent à la nuit des temps, bien avant l’arrivée de l’Homme sur Terre. L’assurance des biens telle que nous la connaissons aujourd’hui est bien plus récente, mais elle existerait tout de même depuis le 17e siècle. Les premières modélisations stochastiques de catastrophes naturelles, qui aident les assureurs et réassureurs à mieux maîtriser et évaluer le coût des risques, n’ont été développées qu’à la fin des années 1980.

4 décembre 2019

Benjamin Baltesar

Senior ILS Underwriter, Credit Suisse Insurance Linked Strategies Ltd

Ces modèles sont essentiels sur le marché actuel de la (ré)assurance et des Insurance Linked Strategies (ILS). Et grâce aux progrès technologiques, il a été possible de réaliser des simulations toujours plus complexes dans des délais toujours plus courts. Mais aujourd’hui, les ordinateurs qui ont permis ces avancées sont sources de nouvelles menaces pour cette industrie: le risque cyber.

L’équipe Insurance Linked Strategies du Credit Suisse (CSILS) peut se targuer d’être l’une des plus expérimentées dans le domaine des stratégies Insurance Linked (ILS)

Le premier virus informatique a été créé en 1983, c’est-à-dire il y a tout juste 36 ans. Les premières couvertures en assurance cyber avaient déjà été envisagées dans les années 1990 mais elles n’ont vu le jour qu’en 2000, à la Lloyd’s de Londres. Quelque huit années plus tard, le marché atteignait déjà un volume de primes annuel de près de 500 mio USD, un chiffre porté à près de 5 mia USD en 2019. Malgré cette très forte croissance, ce chiffre reste en définitive très faible. En comparaison, le volume mondial de primes annuel pour l’assurance Non-Vie est estimé à environ 1500 mia USD (2018).

L’essor de l’assurance cyber est bien en deçà de la croissance des risques potentiels. Les raisons à cela sont notamment :

Le manque de données pour les actuaires en charge d’évaluer le coût des couvertures.
L’absence d’un consensus de marché en termes de scenarii – par exemple, une indisponibilité de 48 heures des services Internet d’Amazon entraînerait-elle une perte d’1 mia USD pour l’industrie ou plutôt de 20 mia USD ?
Une grande diversité de «périls» potentiels qui nécessitent d’être couverts tels que les dommages matériels causés à l’assuré ou la responsabilité civile.
Une faible sensibilisation au produit par les gestionnaires de risque des entreprises.
Et la perception que l’assurance cyber n’est pas nécessaire ou trop coûteuse – lorsque l’on sait qu’en Californie seulement 10% des propriétaires souscrivent une assurance séisme pour leur maison, il est facile d’imaginer combien il est difficile de vendre une assurance cyber.

D’un autre côté, il existe de nombreuses raisons d’être optimiste en ce qui concerne le secteur de la (ré)assurance cyber. L’univers de l’Internet des objets (IoT) est en plein essor. D’ici 2025, on estime qu’il y aura 75 milliards d’appareils IoT en service dans le monde. Déjà pour 2020, on estime que chaque personne aura en sa possession en moyenne 6,6 appareils connectés à Internet. L’Internet de cinquième génération (5G) va sensiblement changer la donne en permettant aux appareils de se connecter entre eux avec une vitesse et une latence nettement améliorées. Avec de plus en plus d’entreprises qui transfèrent une partie de leurs activités sur le nuages, ces services sont en plein développement.

Mais tout cela suscite aussi un intérêt néfaste : dans un rapport récent, Kaspersky a estimé que le nombre d’attaques envers des appareils IoT s’était multiplié par neuf au cours de l’année passée. Au niveau des conseils d’administration et des comités exécutifs, la prise de conscience et les préoccupations en la matière grandissent, renforcées par l’attaque du logiciel rançonneur NotPeya considérée comme la cyber-catastrophe la plus coûteuse de tous les temps. NotPetya a touché des entreprises telles que Merck, FedEx, Maersk, Mondelez et Reckitt-Benckiser. Il n’existe pas d’estimation fiable des pertes économiques induites par cette cyber-attaque mais la perte assurée est estimée à plus de trois mia USD. En 2018, le gouvernement des Etats-Unis a attribué la responsabilité de NotPetya à la Russie, ouvrant la voie aux assureurs cyber pour contester la validité de toute demande de règlement en vertu de la clause standard d’exclusion pour acte de guerre. Le temps (et les poursuites en cours) nous diront si les cyber-attaques soutenues par un gouvernement doivent être couvertes par des polices d’assurance cyber, ou pas.

L’événement NotPetya témoigne de la complexité à appréhender et à couvrir les risques cyber par une assurance. L’assurance cyber ne concerne pas uniquement les attaques en elles-mêmes, elle peut également couvrir les pertes dues à une panne du réseau électrique, à une cyber-extorsion, à une atteinte à la réputation, à un arrêt des activités dû à un piratage par un tiers ou à une panne de logiciel ou encore à une erreur humaine, et elle peut également couvrir les dépenses liées à des violations de données. La fréquence croissante de ces violations de données a fait naître une véritable prise de conscience et a suscité des inquiétudes chez les entreprises au sujet des risques liés à leur réputation ainsi qu’à la protection de leur bilan. Des évolutions réglementaires, tel que le Règlement général sur la protection des données (RGPD) en Europe, ont elles aussi contribué à attirer davantage l’attention sur les cybermenaces qui pèsent sur le monde des affaires. Certains des atouts de la mondialisation sont aussi devenus des faiblesses du fait de logiciels malveillants capables d’affecter des entreprises partout dans le monde en un temps record.

Le risque cyber est un risque nouveau qui n’en est encore qu’à ses débuts, mais l’assurance cyber croît beaucoup plus rapidement que le marché de l’assurance Non-Vie. Les entreprises spécialisées en modélisation ne recherchent plus désormais des experts en climatologie mais des spécialistes en cyber-ingénierie et sécurité pour qu’ils apportent leur expertise dans la modélisation de risques si complexes. Les compagnies d’assurance sont encore en train d’essayer de maitriser l’accumulation des risques cyber qu’elles conservent dans leurs bilans. Chaque jour de nouveaux clients découvrent que leur entreprise tout entière pourrait s’effondrer à la suite d’un clic malheureux, c’est pourquoi ils investissent de plus en plus dans la sécurité de leurs systèmes. Cet écosystème, encore petit, mais en pleine croissance est en train d’apprendre comment appréhender ce risque bien que, soyons réaliste, il faudra encore du temps avant de le maîtriser et de le modéliser correctement. Les scientifiques travaillent d’arrache-pied au développement d’ordinateurs et d’appareils toujours plus puissants et intelligents, mais les hackers ne sont pas en reste et travaillent eux aussi sans relâche au développement de virus toujours plus ingénieux. Le risque cyber est parti pour durer, tout comme l’assurance cyber.

Le risque cyber joue-t-il un rôle dans le marché de la réassurance et des ILS?

La réassurance cyber existe bien que le capital disponible pour couvrir ses risques soit limité. Cette restriction résulte de l’appétence pour le risque plutôt faible définie par les conseils d’administration ou de direction du fait de l’incertitude liée à la modélisation et à l’accumulation du risque cyber et du manque de diversification à l’intérieur de ce secteur d’activité. Du côté des ILS, cette capacité est encore plus limitée pour les mêmes motifs que ceux évoqués précédemment mais aussi du fait de l’aspect mixte entre dommage et responsabilité civile, de la difficulté à s’engager sur plusieurs années étant donné la nature très dynamique du risque, et enfin du manque de sponsors disposés à céder leurs risques cyber ou leurs risques opérationnels aux marchés financiers, et de la frilosité du marché financier à prendre des risques aussi complexes et moins bien maîtrisés. En outre, les ILS et les obligations catastrophe sont devenues populaires auprès des investisseurs sur les marchés des capitaux, en partie en raison de leur faible corrélation avec les marchés financiers. Le risque cyber est susceptible de présenter une corrélation plus importante. Alors, le risque cyber est-il en passe de devenir le «next big thing» sur le marché des ILS, c’est-à-dire le «dommage aux biens» (à savoir la couverture de catastrophes naturelles)? Nous pensons que cela est peu probable dans un avenir proche. Mais l’assurance cyber a le potentiel de devenir à terme un marché alternatif avec la taille du marché actuel des catastrophes naturelles. Le marché «catastrophes naturelles» des ILS est resté relativement restreint pendant ses dix premières années d’existence et n’a cessé d’innover et de se développer en termes de structures et de solutions de transfert de risques. De même, il est peu probable qu’un transfert direct du risque cyber vers le marché des capitaux se produise du jour au lendemain ou se développe rapidement. Il se développera plutôt avec prudence et de façon constante au fil du temps pour répondre à l’appétit des investisseurs et aux besoins des sponsors en matière de réassurance cyber et de couverture ILS.

Sources: Aon Benfield, Wikipedia, Munich Re, Safeatlast.co