Les cyberattaques connaissent une augmentation sans précédent. Un risque récent pour lesquels les assureurs ont développé une offre spécifique. Mais beaucoup d’entre eux se montrent plus exigeants, prévoyant de nouvelles restrictions dans leurs contrats. L’invasion de l’Ukraine par la Russie pourrait bien tendre encore la situation.
Les cyberattaques peuvent avoir des conséquences très lourdes et s’avérer très coûteuses. Avant la guerre entre l’Ukraine et la Russie, les assureurs tendaient déjà à réduire leur offre en matière de couverture cyber et à augmenter les prix sur un marché de niche, qui devient pourtant de plus en plus essentiel. Le conflit armé en Europe renforce encore la réticence des assureurs à couvrir les entreprises contre les cyberattaques. Craignant une recrudescence des offensives des hackers, les compagnies d’assurance font preuve d’une certaine nervosité et jouent la carte de la prudence.
« Le marché de l’assurance était déjà très tendu avant le conflit et celui-ci est maintenant considéré comme un événement aggravant », explique ainsi Guillaume Deschamps, spécialiste de ce marché chez le courtier en assurances d’entreprises WTW dans un article des Echos Entrepreneurs.
Des pertes estimées à 35 milliards de dollars
Plusieurs scénarios sont ainsi étudiés, comme celui d’attaques d’origine russe contre des entreprises occidentales ou d’offensives de hackers ciblant des entreprises occidentales ayant choisi de rester en Russie. Les assureurs redoutent d’être confrontés à des attaques dites « systémiques », provoquant de lourdes pertes dans de multiples entreprises. S&P Global a déclaré début avril que les pertes d’assurance liées au conflit ukrainien pourraient s’élever à 35 milliards de dollars, la cybernétique étant l’une des catégories d’assurance les plus exposées. Pourtant, en réalité, depuis le début du conflit, aucun indicateur ne témoigne d’une augmentation des attaques à destination des pays membres de l’Union européenne, du G7 ou de l’OTAN. Seule l’Ukraine constitue une cible réellement identifiée.
« Dans la situation actuelle, nous examinons encore plus attentivement les demandes de cyberassurance de tout client avant de faire une offre, en particulier pour les secteurs très exposés comme les institutions financières et les télécommunications, déclare aux Echos Entrepreneurs un porte-parole d’AGCS, l’entité d’Allianz dédiée aux grandes entreprises. Mais nous continuons à souscrire des risques dans ces secteurs au niveau mondial. »
Certains assureurs excluent ainsi les cyberattaques qui trouveraient leur origine en Ukraine ou en Russie. Ainsi, Munich Re, l’un des principaux réassureurs mondiaux, basé en Allemagne, prévoit de nouvelles formulations dans les polices d’assurance cybernétique pour exclure la guerre, afin d’éviter les litiges sur ce qui est couvert.
Les assureurs pourraient aussi chercher à lever les ambiguïtés sur leurs couvertures en cas de cyberattaque attribuable à un Etat. Par défaut, ils ne couvrent pas les dommages causés par la guerre. Toutefois, il est difficile de cerner les auteurs de cyberattaques, ce qui peut conduire les assureurs à devoir indemniser un sinistre malgré eux.
En novembre, la Lloyd’s Market Association, qui réunit les acteurs du marché de Londres, a publié des modèles de clauses d’exclusion de la cyberguerre. En France, un rapport a récemment proposé de préciser le droit des assurances au profit des assureurs.
Pour en savoir plus sur la cyberassurance :
Cyber-attaques : La BCE invite les banques à renforcer leur sécurité