LA REASSURANCE DES RISQUES CYBER

Les attaques cyber ont particulièrement augmenté ces dernières années, notamment dû à la forte progression du digital et du e-commerce. Le risque peut consister en du vol de données personnelles et bancaires («phishing» ou «ransomware»), en de l’atteinte à l’image en rendant un site internet indisponible, ou en sabotant un système informatique. Ce sont majoritairement les entreprises qui sont ciblées, mais les particuliers ne sont pas à l’abri.

Par ailleurs, les nouveaux modes de travail en distanciel, qui ont connu une croissance rapide depuis le début de la pandémie, ont offert autant d’opportunités de piratage via les outils permettant le travail et l’enseignement à distance. Le nombre d’utilisateurs ayant fortement cru, le nombre de victimes d’attaques cyber a suivi. Pour maîtriser ces risques, les entreprises et autres organisations se tournent vers les assurances. Il est alors courant, pour ces dernières, de se tourner à leur tour vers des réassureurs afin de pallier le manque d’expertise actuel sur le segment de l’assurance cyber.

Les garanties actuellement proposées sont généralement des garanties dommages ou des garanties responsabilité. Les garanties dommages protègent contre les pertes d’exploitation et les coûts de négociations. Les garanties responsabilité civile, quant à elles, couvrent les dommages occasionnés à un tiers (clients, fournisseurs, etc), par exemple à la suite d’un vol de données personnelles.

Lors d’une attaque cyber, la responsabilité des dirigeants peut être mise en cause et les couvertures professionnelles doivent être adaptées.

Au vu du marché encore peu connu et plutôt profitable, le partage d’informations entre réassureurs est encore limité. Des opportunités de développement sont à prévoir étant donné la capacité encore limitée du marché. Un levier de développement de ce marché pourrait passer par des

instruments financiers du type «Insurance Linked Securites» où l’élément déclencheur serait le risque cyber, d’une manière similaire aux obligations catastrophes ou aux obligations pandémiques.

LE PLAN DE CONVERGENCE EIOPA 2022. QUELQUES POINTS D’ATTENTION.

De risque cyber, il est aussi question dans le plan de convergence 2022 de l’EIOPA paru le 9 février. Le document envisage différentes initiatives, sur un plan encore assez théorique : rédaction d’une proposition sur la résilience numérique opérationnelle, mise en place d’échanges entre autorités nationales et européennes en matière de cyber-sécurité, publication de directives et d’un reporting sur les incidents et les tests de résilience, harmonisation méthodologique avec d’autres outils tels que les Business Continuity et Disaster Recovery Plans.

D’autres sujets sont évidemment abordés dans ce plan de convergence. On retrouve les thèmes méthodologiques récurrents en matière de supervision, et les déclarations d’intention visant une collaboration plus étroite entre les entités concernées. Une attention particulière est réservée aux traitements ESG (Environnement, Social, Gouvernance). Par exemple, l’intégration des risques climatiques dans les exercices ORSA et Solvabilité II est à l’ordre du jour. L’EIOPA épingle également l’émergence des organismes de pension multi-sponsors, la sous-traitance, les entreprises en run-off ou les modèles internes, tous chantiers requérant une approche coordonnée au niveau européen.

EVENEMENTS A VENIR

Mardi 15 Mars, 18h15 : Kézako FORSIDES : IFRS17 : Principales notions et exemples de mécaniques de calculs

Jeudi 24 Mars, 18h15 :  Conférence ILAC  : « À la recherche d’un estimateur universel » par le Professeur Baraud de l’Université du Luxembourg