Le risque cyber pris en compte par les agences de notation

Le monde de l’assurance s’est saisi du risque informatique depuis plusieurs années. Mais si les dépenses en la matière sont appelées à croître rapidement, les assureurs n’ont pas l’intention de couvrir tout et n’importe quoi, et en tout cas pas la négligence.

Dans ce contexte, le risque informatique se doit donc d’être appréhendé à la manière d’autres risques exceptionnels, comme les catastrophes naturelles, « avec tout impact de crédit consécutif en fonction de la durée et de la sévérité de l’événement », explique Moody’s dans un communiqué.

Car comme le précise Jim Hempstead, directeur général adjoint de l’agence de notation, « nous n’intégrons pas explicitement le risque cyber comme un facteur de crédit principal aujourd’hui, mais notre analyse de solvabilité fondamentale intègre de nombreux scénarios de stress-test, et un événement cyber pourrait être le déclencheur de l’un de ces scénarios ».

Las, évaluer l’impact d’un incident cyber sur la solvabilité d’une organisation « présente des défis », explique Moody’s. Et de proposer à ses clients un rapport dans lequel sont identifiés « plusieurs facteurs clés à examiner pour déterminer un impact crédit associé à un événement cyber, dont la nature et le périmètre des actifs et activités visés, la durée des perturbations de service potentielles, et le délai envisagé de rétablissement des opérations ».

Tous les secteurs d’activité ne sont pas concernés de la même manière. L’agence de notation relève ainsi que les secteurs des services financiers, de la santé, du commerce de détail ou de l’enseignement supérieur sont plus exposés au risque de vol de données personnelles se traduisant par des conséquences « sérieuses », financières, comme en termes d’image.

Pour d’autres, comme les opérateurs d’infrastructures critiques, le risque touche plutôt aux pertes économiques et aux dégâts causés à l’environnement. Mais pour Moody’s, des attaques visant de tels acteurs « provoqueraient une interventions gouvernementale immédiate pour rétablir les opérations, réduisant ainsi le risque de crédit ».

Moody’s n’est seul à s’interroger sur l’intégration du risque cyber dans les notations de solvabilité. Fin septembre, Standard & Poor a indiqué envisager de réduire la notation de banques à la posture de sécurité informatique faible. L’analyste de S&P Stuart Plesser indiquait ainsi que « nous appréhendons la cybersécurité comme une menace émergente qui a le potentiel de constituer un risque plus grand pour les institutions financières à l’avenir, et qui peut conduire à un abaissement de note ».