L’assurance cyber à la croisée des chemins ?

C’est une déclaration qui n’est pas passée inaperçue. Mario Greco, patron de l’assureur Zurich, a indiqué, à nos confrères du Financial Times, estimer que le risque cyber va devenir inassurable.

Il s’inquiète notamment de la menace d’une prise de contrôle « de parties vitales de nos infrastructures » par des attaquants : « il est nécessaire de [comprendre] qu’il ne s’agit pas seulement de nos données ; c’est une question de civilisation. Ces [attaquants] peuvent sévèrement perturber nos vies ». Pour Mario Greco, c’est bien simple : il y a une limite à ce que le secteur privé peut absorber en termes de couverture des pertes induites par des cyberattaques.

Dès lors, le patron de Zurich en appelle aux gouvernements à « mettre en place des dispositifs privés-publics pour gérer les cyber-risques systémiques qui ne peuvent être quantifiés, à l'instar de ceux qui existent dans certaines juridictions pour les tremblements de terre ou les attaques terroristes ».

Cette sortie intervient alors que plusieurs groupes se sont récemment dotés d’une captive de réassurance, à commencer par Publicis, mi-octobre, avec l’objectif affiché de l’aider à couvrir une partie de ses risques cyber et de responsabilité civile.

Le terme « cyber » n’avait pas été prononcé par Bonduelle et Seb, en 2021, lors de l’annonce de la création de leurs captives de réassurance. Mais il est difficile de pas l’y voir, entre les lignes, alors que les inquiétudes sur les coûts associés à la couverture de ces risques étaient déjà apparus. Le tout sur fond d’un déséquilibre marqué, souligné par l’AMRAE, entre indemnisations versées en 2020 et cotisations collectées.

De leur côté, Airbus, BASF et Michelin n’ont pas caché le rôle des risques cyber et de leur assurabilité pour justifier la création, fin septembre, de leur mutuelle captive d’assurance, avec Adeo, Sonepar, Solvay et Veolia : Miris Insurance.

Récemment, Miguel de Oliveira, président d’Aisi, donnait une illustration de la situation, dans un billet sur LinkedIn, évoquant un client lui demandant « si c’est normal une hausse de 276 % de sa cyberassurance ». Sans compter des exigences techniques croissantes telles que le déploiement, sous 6 mois, de l’authentification à facteurs multiples (MFA) et d’un outil d’EDR (Endpoint Detection and Response). Une réponse, peut-être, à des exigences parfois insuffisantes face à l’évolution de la menace.

John Neal, Pdg de Lloyd’s, l’analysait d’ailleurs début novembre dans les colonnes du Financial Times : pour lui, la cyberassurance « est devenue sous-évaluée », conduisant les assureurs à enregistrer des pertes sur ces produits en 2018 et 2019. Dès lors, les prix ne pouvaient qu’augmenter pour « refléter plus judicieusement l’exposition ».

Mario Greco n’est donc pas le premier à faire de telles déclaration ni à appeler à la mise en place de dispositifs publics-privés pour traiter la question des risques cyber systémiques. Frédéric de Courtois, directeur général adjoint d'AXA, l’avait déjà fait à l’automne 2021… et même un an plus tôt.