Alerte aux risques silencieux!

Des hackers prennent le contrôle d’un réseau de transport, provoquant le déraillement d’un train… Un logiciel malveillant s’infiltre dans le système de navigation GPS d’un navire, entraînant une collision contre un pont… Les cyber-risques peuvent aisément causer des dommages matériels et des sinistres. Avec les contrats classiques d’assurance dommages (IARD), l’exposition à de tels risques, dits “silencieux“, est source d’incertitude pour les clients, les courtiers et les assureurs. Allianz est l’un des premiers groupes d’assurance à repenser les modes de souscription pour clarifier les cyber-risques.
  • Avec les contrats IARD classiques, l’exposition aux cyber-risques, dits “silencieux“ crée de l’incertitude pour les clients, les courtiers et les assureurs.
  • La nature du risque cyber évolue en permanence, avec des attaques plus élaborées, mieux ciblées et plus vastes.
  • La plupart des contrats classiques ont été conçus lorsque le risque cyber n’était pas si important. Ils ne mentionnent pas explicitement ce risque et, parfois, ne le prévoient même pas.
  • AGCS a été nommé Centre de compétences en assurance cyber afin de mettre en œuvre une approche cohérente de souscription des cyber-risques au sein du Groupe Allianz, dans le monde entier.

Ce n’était qu’un avant-goût d’un véritable “cyber ouragan“ à grande échelle, et pourtant, les effets ont été désastreux sur de nombreuses entreprises à travers le monde.

En 2017, de vastes cyber-attaques, comme Petya et NotPetya ou WannaCry, ont entraîné des sinistres majeurs pour les entreprises : la valeur assurée des pertes causées par Petya est estimée à 3,3 milliards de dollars. Ces attaques ont provoqué de fortes perturbations dans les systèmes et les entreprises de groupes internationaux, comme Merck et Maersk. Le laboratoire pharmaceutique Merck, de loin le plus touché, aurait perçu une indemnisation en assurance cyber d’environ 2 milliards de dollars. Le géant maritime Maersk a subi des pertes dépassant 300 millions de dollars1.

Selon PCS, société américaine spécialisée dans l’analyse des sinistres, près de 90 % des pertes subies par les entreprises à cause de Petya et de NotPetya sont attribuables aux cyber-risques dits ‘silencieux’. Ces risques peuvent entraîner des pertes dans le cadre de contrats d’assurance classiques IARD et RC qui n’ont pas été conçus pour les couvrir. Comme le montrent ces incidents, les sinistres cyber peuvent mettre en jeu de nombreuses autres assurances que les couvertures cyber, comme l’interruption d’activité (BI), les erreurs et omissions (E&O) ou le kidnapping avec demande de rançon (K&R).

«Les attaques WannaCry et NotPetya de 2017 ont révélé les risques et les dommages potentiels pesant sur tous les secteurs d’activité, et posé des problèmes majeurs concernant les cyber-risques dans les polices IARD traditionnelles», explique Emy Donavan, directrice mondiale de l’assurance du risque cyber et technologique chez AGCS.

Ces dernières années, les cyber-risques ont pris une place majeure. En 2019, dans la huitième édition du baromètre des risques d’Allianz 2019, ils figurent pour la première fois au premier rang, ex æquo avec l’interruption d’activité. Les incidents cyber peuvent occasionner non seulement des pertes financières ou des perturbations importantes, mais aussi entraîner dommages matériels, interruption d’activité, rappel de produits, blessures, voire des conséquences fatales.

«La nature du risque cyber évolue rapidement et constamment avec des attaques plus élaborées, mieux ciblées et plus vastes», souligne Emy Donavan.

Les entreprises sont exposées à des « attaques de grande envergure, à vecteurs multiples et au moyen d’outils sophistiqués » qui dépassent souvent le niveau de maturité technologique des systèmes de sécurité informatique des entreprises2. Outre la cybercriminalité, les causes de pannes massives des systèmes ou de pertes de données sont les défaillances techniques, les bugs informatiques ou les erreurs humaines.

Les scénarios de cyber-risques silencieux sont, par exemple, le piratage d’un réseau de transport provoquant le déraillement d’un train, un logiciel malveillant infectant un système de navigation GPS, permettant ainsi la prise de contrôle d’un navire3, ou encore un piratage qui déclencherait l’ouverture des vannes d’un barrage hydraulique, causant de vastes inondations en aval4 et le jeu potentiel de l’assurance des biens endommagés.

Dans ces scénarios d’incidents liés à des risques informatiques ou technologiques, il n’est pas toujours facile de savoir si les contrats d’assurance classiques garantissent les pertes potentielles, dans la mesure où ils ne sont pas prévus pour couvrir le risque cyber.

«La plupart des contrats classiques ont été conçus lorsque les cyber-risques n’étaient pas encore importants, si bien qu’ils ne les mentionnent pas explicitement et, parfois, ne les prévoient même pas», explique Emy Donavan.

Face à ces risques silencieux, ou “non-dénommés“, les clients ne sont pas correctement protégés et les contrats n’apportent pas la certitude et la transparence indispensables à toutes les parties, clients, courtiers et assureurs. «Une nouvelle approche de l’assurance s’avère nécessaire pour prévenir efficacement ces nouveaux cyber-risques et clarifier les garanties pour les clients», ajoute Emy Donavan.

Le groupe Allianz passe actuellement en revue les cyber-risques au sein des contrats IARD, dans les branches d’assurance des risques commerciaux, industriels et spéciaux. Il a développé une nouvelle stratégie de souscription des cyber-risques silencieux qui permettra de mettre à jour et de préciser toutes les garanties des contrats IARD en la matière. Il a chargé AGCS de créer un Centre de compétences en assurance cyber pour l’ensemble du groupe.

«Nous préciserons les modalités de couverture des cyber-risques dans les contrats classiques, et les scénarios pour lesquels une solution d’assurance cyber est nécessaire», indique Emy Donavan. Cette nouvelle stratégie répond également aux préoccupations croissantes des régulateurs et des agences de notation concernant les expositions cyber des portefeuilles d’assurance.

Pour les assurés, la situation sera différente selon la branche d’assurance, le marché et la réglementation. S’ils ne sont pas définis, les cyber-risques seront spécifiés dans les contrats. Il sera clairement indiqué dans quels cas les cyber-risques seront couverts par les contrats classiques et dans quels scénarios une solution d’assurance spéciale cyber sera nécessaire.

«Il n’existe pas d’approche universelle», explique Marek Stanislawski, directeur mondial adjoint de l’assurance du risque cyber et technologique chez AGCS.

Les assurés d’AGCS auront le choix entre différentes options pour adapter la couverture du risque cyber à leurs besoins particuliers et à leurs profils de risques, depuis une couverture affirmative dans les contrats IARD classiques jusqu’à la souscription d’un contrat d’assurance spéciale cyber, en passant par un avenant à un contrat d’assurance classique. Dans de nombreux cas, la définition des événements cyber sera ajoutée à la rédaction existante. (par exemple, une assurance des biens proposant une extension de garantie spéciale pour l’interruption d’activité due à un événement cyber).

«La mise en place d’une solution complète pour tous les produits est extrêmement difficile, mais elle est dans l’intérêt des clients et des courtiers, explique Marek Stanislawski. Elle permet de garder une expertise sur des cyber-risques spécifiques au sein des lignes de produits où ils sont habituellement souscrits. En outre, elle apporte aux clients plus de sécurité et d’avantages dans le cadre des contrats qu’ils ont déjà souscrits.»

Dans les contrats IARD d’Allianz dont la rédaction est à jour, les dommages matériels et corporels liés à des événements cyber continueront généralement d’être couverts. Toutefois, les pertes financières “pures“ liées à des cyber-risques, sans dommages matériels ni corporels, ne seront couvertes que par des solutions affirmatives de cyber-assurance. (voir encadré).

Si le marché mondial commence seulement à se pencher sur les cyber-risques silencieux, Allianz est le premier assureur à s’engager dans l’information et la formation des acteurs du marché.

Cette nouvelle stratégie aidera Allianz à mieux évaluer son exposition cyber et à répondre aux régulateurs et aux agences de notation sur sa gestion de la souscription des risques cyber. De cette manière, Allianz souhaite pouvoir mieux gérer le risque d’agrégation cyber dans ses portefeuilles IARD, et constituer des provisions appropriées pour faire face aux scénarios de sinistres cyber majeurs qui pourraient toucher simultanément de multiples assurés.

Deux scénarios possibles

  • COUVERTURE AFFIRMATIVE DANS UNCONTRAT CLASSIQUE : le piratage d’un logiciel industriel provoque une explosion dans une usine ; les dommages matériels et les pertes d’exploitation qui en résultent sont couverts par un contrat d’assurance IARD classique.
  • COUVERTURE AFFIRMATIVE DANS UNCONTRAT OU AVENANT CYBER : un logiciel malveillant perturbe la fabrication des produits ou la prestation des services, et occasionne un manque à gagner, sans dommages matériels, pour l’entreprise ; la couverture de ces pertes financières “pures“ requiert un contrat d’assurance spéciale cyber ou un avenant à un contrat classique.

Les superviseurs financiers tirent la sonnette d’alarme sur les cyber-risques silencieux dans les portefeuilles d’assurance. L’autorité de supervision allemande Bafin a annoncé qu’elle étudierait plus attentivement les cyber-risques silencieux dans le secteur de l’assurance en 2019. L’autorité de régulation prudentielle britannique a vivement encouragé, dès 2017, les assureurs et les courtiers à traiter la question des cyber-risques. Dans le monde entier, les régulateurs ont entrepris une campagne de sensibilisation à grande échelle.

Les réassureurs aussi mettent les cyber-risques silencieux au premier rang de leurs priorités. Selon Doris Hoepke, membre du conseil d’administration de Munich Re, «les assureurs doivent examiner les cyber-risques silencieux dans leurs contrats classiques»5

Le sujet s’invite également dans l’agenda des courtiers. La division réassurance d’Aon a annoncé un mécanisme d’assurance des cyber-risques silencieux. La société de modélisation des catastrophes AIR Worldwide a collaboré avec le courtier en réassurance Capsicum Re pour identifier ses lignes non-cyber exposées aux cyber-risques. Enfin, l’enquête de Willis Towers Watson, intitulée 2018 Silent Cyber Outlook Survey, met en lumière les préoccupations croissantes soulevées par les cyber-risques silencieux.

«Je pense qu’en 2019, les cyber-risques silencieux vont faire du bruit, dit Emy Donavan. Le secteur doit s’attaquer à ce problème et proposer des solutions adaptées au risque cyber, qui figure aujourd’hui parmi les principaux risques des entreprises.»

  • Transparence, clarté et sécurité de la couverture des cyber-risques pour les clients et les courtiers
  • Règlement plus rapide des demandes d’indemnisation en cas de sinistre, grâce à la sécurité de la couverture cyber
  • Contrats conçus pour la nouvelle génération de cyber-risques
  • Solutions adaptées à la couverture des cyber-risques : couverture cyber intégrée dans un produit d’assurance IARD classique ou contrat d’assurance spéciale cyber
  • Suppression des doublons “inconnus“ et comblement des lacunes dans les différentes couvertures pour les assurés
  • Expertise en assurance des cyber-risques dans le nouveau Centre de compétences cyber
  • Suivi du portefeuille et gestion des expositions pour Allianz, permettant une utilisation efficace de la capacité de souscription et une gestion optimale du capital
Le Baromètre des risques d’Allianz 2019, huitième enquête annuelle réalisée auprès de 2 400 clients, experts d’assurance et autres professionnels de plus de 80 pays, comprenait plusieurs questions sur les tendances en matière de souscription d’assurance cyber. Les principaux résultats sont indiqués ci-dessous. GRD a demandé à Marek Stanislawski, directeur mondial adjoint de l’assurance du risque cyber et technologique chez AGCS, de les commenter.
Stanislawski: «Si un quart des répondants ont détecté un cyber-incident l’année dernière, plus de la moitié de l’ont pas fait, ce qui pose question sur le niveau de confiance que nous pouvons accorder aux systèmes de détection et de prévention. En effet, il est possible qu’une cyber-attaque ait été suffisamment sophistiquée et insidieuse pour passer inaperçue. Les entreprises doivent en permanence surveiller, mettre à jour et moderniser leurs mesures de sécurité informatique. Malheureusement, pour anticiper ces risques, il faut mettre en place un processus continu et redondant.»
Stanislawski: «Le fait que plus de la moitié des répondants aient souscrit une assurance cyber l’année dernière est lié à leur perception du risque cyber comme un danger majeur. La souscription de ce produit d’assurance devrait se développer avec la sensibilisation des entreprises à la gravité et à la sévérité des événements cyber.»
Stanislawski: «Nous prenons très au sérieux le fait que 61 % des répondants aient signalé un manque de capacité disponible. Si les lignes classiques offrent une capacité mondiale, notre service Transfert alternatif des risques peut aider les grandes entreprises à construire une solution sur mesure de transfert des risques pour remédier au manque de capacité sur les marchés classiques.»
Stanislawski: «Il est intéressant de remarquer le nombre à peu près égal entre ceux qui estiment la tarification de la couverture d’assurance cyber conforme à leurs attentes, et ceux qui répondent exactement le contraire. Ce contraste apparent peut être attribué au fait que le marché est en baisse, malgré les différentes expositions et le risque de cumul mal connu, et que les souscripteurs ne peuvent pas toujours tarifer en fonction du risque technique. Les contrats d’assurance cyber comprennent souvent une couverture pour d’autres types de risques, tels que le manque à gagner ou la demande de rançons. En conséquence, ils sont généralement sous-tarifés pour couvrir toutes les causes de sinistres assurés, tout en tenant compte de la concurrence. Les tarifs monteront à mesure que les sinistres se multiplieront et que le secteur élaborera plus de modélisations et d’analyses.»
Stanislawski: «Bien qu’une grande majorité de répondants (plus de 90 %) reconnaissent la nécessité d’avoir une assurance cyber, à peine plus de la moitié d’entre eux seulement s’est équipée de ce produit. Les raisons peuvent être nombreuses : contraintes budgétaires internes, hésitations à souscrire une extension de garanties cyber dans un contrat existant ou un contrat spécial. Allianz s’engage à accompagner ses clients pour choisir la forme de transfert du risque cyber qui réponde le mieux à leurs besoins.»
Lire cet article dans le ‘Global Risk Dialogue’. Publié deux fois par an, le ‘Global Risk Dialogue‘ est le magazine d’Allianz Global Corporate & Specialty qui présente les actualités et analyses d'experts du monde des risques d’ entreprises.

SOURCES

[1] Artemis, Merck & silent cyber impacts drove Petya industry loss: PCS, 7 novembre 2018.

[2] Check Point, Achieving fifth generation cyber security: A survey research report of IT and security professionals, mars 2018.

[3] Willis Towers Watson, Silent cyber outlook: Is silent cyber risk creeping up on insurers?, 11 septembre 2017.

[4] Guidewire, Aon and Guidewire launch cyber scenario for a US dam attack, 25 octobre 2018.

[5] Baden-Baden Reinsurance Meeting, 2018.

Allianz operates as an international insurer on almost every continent. Find Allianz in your own country/region.
With the Allianz network AGCS provides services in over 200 countries and territories.