Article

Quelles sont les tendances en matière de cyberassurance?

La nature en constante évolution des cyberrisques, la dépendance numérique des entreprises et le raffinement des cyberattaques contribuent à rendre intimidante la quantification et la tarification des cyberrisques.

Forest panorama with fresh green beeches, the sun in the middle casts beautiful rays

Marché de la cyberassurance aux États-Unis – Mise à jour du premier trimestre de 2022

La nature en constante évolution des cyberrisques, la dépendance numérique des entreprises et le raffinement des cyberattaques contribuent à rendre intimidante la quantification et la tarification des cyberrisques. L’avenir étant fondamentalement incertain, la tarification des cyberrisques d’une manière commercialement viable constitue un défi. Parallèlement, la certitude contractuelle et l’intégrité des produits sont au centre des attentions tandis que le marché de l’assurance navigue sur le paradigme en évolution des cyberrisques.

Intégrité des produits sous pression

Les produits d’assurance et le capital de soutien disponible changent inévitablement au fil du temps, à mesure que de nouveaux risques apparaissent, que les produits existants évoluent et que les outils d’analyse des données et de modélisation prédictive deviennent plus puissants et plus efficaces.

La cyberassurance s’est avérée résistante dans son évolution relativement rapide, d’une stratégie de niche en matière de technologie de commerce électronique en une stratégie qui traite d’un éventail de risques numériques dérivés. Fait important, elle s’est montrée efficace pour le paiement comme prévu des demandes d’indemnité, permettant aux sociétés de prendre des risques de façon responsable tandis qu’elles innovent et numérisent leurs modèles opérationnels.

À mesure que l’étendue de la garantie et de ses acheteurs s’accroît, les assureurs ont des inquiétudes quant à l’exposition au risque accumulé et au risque systémique. En réponse, les assureurs révisent les stratégies, notamment en prenant des mesures opérationnelles et tactiques, par exemple en adaptant leur tolérance au risque, leurs méthodologies de souscription, la composition du produit et les services de soutien offerts aux assurés. Ils le font dans le but d’améliorer la rentabilité de leur portefeuille et de préparer le terrain pour une durabilité à long terme du marché de la cyberassurance.

Voici quelques-unes des principales préoccupations et mesures correspondantes :

Exigences en matière de souscription : de courts questionnaires et des réunions de souscription de haut niveau ont été remplacés par des propositions complètes et des propositions supplémentaires contre les rançongiciels, dont les questions sont informées par l’analyse des sinistres, un examen externe et une veille juridique et commerciale en matière de menace. Pour les sociétés assurées, cela signifie que l’incapacité de mettre en œuvre des contrôles clés en matière de cyberhygiène entraînera probablement des résultats moins souhaitables. Toutefois, celles qui font preuve d’une cybermaturité demeurent en position de résister à l’érosion de la garantie.

Agrégation, accumulation et risque systémique : généralement, ces trois termes reflètent les préoccupations des assureurs liées aux sinistres corrélés, amplifiées par une dépendance croissante à certaines technologies et à certains services. Ces inquiétudes s’inscrivent dans un contexte de marché réparti parmi un nombre relativement faible de réassureurs et de souscripteurs principaux, ce qui se traduit par une concentration du risque. Les assureurs excédentaires réévaluent les limites de rétention des programmes par tranches et examinent la portée de la garantie sous-jacente.

Portée de la garantie : les assureurs scrutent de plus en plus la portée de la garantie, mais aussi la construction du contrat. Souvent, la portée s’exprime sous forme de limitations liées à la protection contre les attaques par rançongiciel et les pertes d’exploitation indirectes, de responsabilité découlant des décisions d’affaires concernant les exigences de collecte, de conservation, d’utilisation et de consentement liées aux renseignements personnels identifiables, et par l’élargissement de la formulation des exclusions en ce qui a trait à l’infrastructure, aux risques naturels, aux mesures gouvernementales et à la guerre.

Préparation en vue des discussions sur le renouvellement de la cybersécurité

Voici des sujets et des problèmes sur lesquels votre courtier et vos assureurs sont susceptibles de discuter en profondeur avec vous lors de votre prochaine discussion sur le renouvellement de votre police :

Rançongiciels : ce risque est au cœur de presque toutes les discussions sur les cyberrisques aujourd’hui. Alors que les attaques par rançongiciel ne cessent d’augmenter en fréquence, en sophistication et en gravité, elles sont devenues la principale menace de cyberattaque eu égard aux activités quotidiennes, aux finances à long terme, à la réputation et plus encore de plusieurs sociétés. Les assureurs continuent d’utiliser les sous-limites et la coassurance comme mécanisme de partage des risques, en partie pour encourager les cybercontrôles et la résilience.

Les garanties relatives aux rançongiciels ne fonctionnent pas toutes de la même façon, et les acheteurs doivent y prêter attention. Certains assureurs imposent des limites relatives aux rançongiciels à l’ensemble de la police, y compris les risques liés à la responsabilité civile, tandis que d’autres se concentrent uniquement sur le paiement par suite d’une attaque par rançongiciel ou sur les pertes d’exploitation en résultant.

Risques réglementaires : en réponse à des cyberévénements incessants qui ont des répercussions négatives sur la société, les règlements existants sont en cours de modification et d’autres en cours d’élaboration.

Citons en exemple la loi 2022 Cyber Incident Reporting for Critical Infrastructure Act (S. 3600), qui exige une déclaration obligatoire des cyberincidents. Le projet de loi définit 16 secteurs d’infrastructure critiques dont les actifs, les systèmes et les réseaux sont considérés essentiels aux États-Unis. La loi exige que les propriétaires exploitants des infrastructures critiques signalent tout cyberincident dans les 72 heures qui suivent le moment où ils en prennent connaissance, et signalent en outre tout paiement par suite d’une attaque par rançongiciel à la CISA (Cybersecurity and Infrastructure Security Agency), dans les 24 heures suivant le paiement. En outre, le projet de loi comprend plusieurs dispositions précises relativement aux rançongiciels, ainsi que des mécanismes de protection appropriés en matière de responsabilité, de confidentialité et d’utilisation.

Une autre préoccupation des assureurs concerne la collecte ou la conservation présumés inappropriées de données biométriques, qui font l’objet de milliers de poursuites, dont la majorité ont été déposées en Illinois. D’autres préoccupations liées aux moyens de communication d’entreprises en dehors du secteur des médias se rapportent à des procédures d’autorisation inappropriées, notamment à l’utilisation de musique protégée par des droits d’auteur, ainsi qu’au nom et à la représentation des athlètes étudiants.

Risque lié à la chaîne d’approvisionnement : la portée complète des fournisseurs tiers d’un assuré demeure quelque peu méconnue. Par conséquent, les souscripteurs exercent une pression accrue pour obtenir des renseignements sur l’écosystème des fournisseurs d’un assuré afin de déterminer et de souscrire les dépendances critiques au-delà des fournisseurs de premier niveau.

Lorsque les assureurs n’ont pas d’éléments probant garantissant qu’une société possède une vue d’ensemble de son exposition à des risques de tiers (qu’il s’agisse de cyberrisques ou non), avec des contrôles et des processus en place pour gérer de façon proactive ces mêmes risques, ils sont susceptibles d’augmenter les délais d’attente, d’éliminer les rétentions admissibles et d’imposer des sous-limites ou une coassurance. Afin de maintenir une protection étendue, il est essentiel de résoudre ces préoccupations en faisant preuve d’un engagement organisationnel à comprendre et à atténuer l’incidence des risques de tiers sur les activités de l’entreprise.

Formulation des exclusions : de nombreux assureurs cherchant à traiter les préoccupations liées aux problèmes d’accumulation et d’agrégation se concentrent sur des modifications apportées à quelques exclusions, notamment la guerre, l’infrastructure et les mesures gouvernementales. Dans le but de réduire l’exposition aux catastrophes, ils explorent des façons plus précises d’exprimer leurs inquiétudes en modifiant les libellés. Cela comprend la modification des exceptions concernant le cyberterrorisme, la redéfinition de la guerre dans le contexte d’une guerre cybernétique moderne, l’élargissement de la formulation souvent ignorée des mesures gouvernementales et la diffusion d’un réseau plus large en élargissant ce qui est considéré comme une infrastructure. Ce faisant, les assureurs apportent davantage de variabilité et de volatilité au processus, créant ainsi des non-concordances au sein des programmes d’assurances.

Risque systémique : les effets prévus et imprévus d’une cyberattaque peuvent se répercuter dans divers secteurs de l’économie mondiale, ce qui a une incidence sur de nombreux intervenants.

Deux voies de contagion découlant du risque systémique se rapportent aux vulnérabilités et aux dépendances communes. Cette sensibilisation, jumelée à certains quasi-incidents (par exemple, SolarWinds, Kaseya et MS Exchange) a été un catalyseur de changement pour les principaux assureurs.

Plus précisément, la construction du contrat se dérive en événements dont la portée et les répercussions sont limitées par rapport à ceux dont la portée est étendue et qui peuvent avoir des répercussions catastrophiques. Cela ouvre la voie aux restrictions futures en matière de protection. Les éléments de ces nouveaux concepts ne sont pas testés, comprennent les modalités correspondantes et sont donc plus susceptibles de subir des conséquences imprévues. L’articulation appropriée de ces concepts devra vraisemblablement inclure un degré raisonnable de quantification et d’orientation à des fins d’illustration dans le but de clarifier les choses entre les parties et d’établir un seuil clair quant à ce qui constitue actuellement un événement non assurable pour un assureur donné.

Responsabilité partagée pour soutenir un marché durable

La réalisation d’un équilibre entre les besoins et les attentes des assurés et des assureurs en matière de transfert de cyberrisques implique une responsabilité partagée – et, idéalement, un partenariat, nonobstant le risque de friction entre ceux qui cèdent le risque et ceux qui l’acceptent.

Dans une certaine mesure, l’expérimentation est inévitable puisque le marché cherche à résoudre les problèmes et à éviter certaines conséquences catastrophiques. Toutefois, elle devient inacceptable lorsque les stratégies et les approches divergent au point d’engendrer un manque de clarté quant à l’incidence des changements de garantie et des non-concordances importantes au sein d’un programme de cyberassurance.

Les garanties de base au sein du cyberproduit ont évolué au point que l’harmonisation de l’intention, des définitions communes cohérentes ainsi que des conventions d’appellation claires et concises sont maintenant appropriées. En fait, elles sont nécessaires pour éliminer l’ambiguïté relative à la nature et à l’étendue, aux modalités et aux conditions non controversées de l’assurance.

Dans l’ensemble, l’industrie n’a jamais eu plus de données pour prendre des décisions informées en matière de souscription, de tarification et de changements de produits proposés. En gardant cela à l’esprit, il est impératif que les souscripteurs offrent une transparence en ce qui concerne la différenciation de la tarification et des risques et qu’ils fournissent des explications claires lorsque vient le temps de proposer des changements au produit.

Afin de maintenir des modalités de garantie générales et d’optimiser l’utilité économique, il est essentiel que les assurés s’engagent à faire preuve de cyberrésilience. La capacité de démontrer que les cyberrisques sont traités de façon stratégique au sein de la société, notamment par une bonne gouvernance, des contrôles complets et une culture de sensibilisation aux cyberrisques, constitue un avantage concurrentiel tandis que de nombreux assureurs ont réduit le capital général consacré à la souscription d’une cyberassurance.

Chez Marsh, nous avons pour mission de protéger et de promouvoir les possibilités : il est essentiel d’aider les clients à protéger leur bilan et de leur permettre de prendre des risques de façon responsable. Nous continuons à défendre les intérêts des assurés en discutant avec les assureurs et les autres intervenants du marché, et nous restons à l’avant-garde de l’innovation des produits et des services qui soutiennent la cyberrésilience, dans le but de réduire l’incertitude et l’ambiguïté, et de maximiser la valeur des produits de cyberassurance pour nos clients.