Note de l'éditeur : l'article suivant est un extrait d'un rapport complet. Pour lire l'intégralité de l'analyse, click here to download the report as a PDF.

L'assurance est un levier historique de couverture des risques qui remonte à l'Antiquité. Peu d'objets ou d'événements modernes ne peuvent être protégés, car les compagnies d'assurance élaborent des polices d'assurance personnelle (habitation, automobile, vie, responsabilité civile, etc.) et commerciale (litiges, accidents du travail, événements imprévus, etc.) afin de réduire le risque de perte financière. Cependant, le choix des consommateurs sur les marchés de l'assurance privée nécessite un modèle économique rentable. En conséquence, les compagnies d'assurance ont établi des formules rentables pour évaluer les risques, qui sont codifiées dans des tables actuarielles.

À l'inverse, il s'est avéré difficile de fixer le prix adéquat des polices d'assurance contre les cyberrisques, comme en témoignent les pertes croissantes enregistrées par le secteur de l'assurance L'assurance cyber est apparue à la fin du XXe siècle et la demande de couverture s'est accélérée au cours des deux premières décennies du XXIe siècle, à mesure que les cybermenaces se sont développées et multipliées. Plus récemment, l' Ransomware-as-a-Service s'est révélé être un modèle de monétisation criminelle exceptionnellement efficace, stimulant la demande de stratégies d'atténuation des risques, notamment l'assurance contre les cyberrisques. Thomas Johansmeyer résume la situation actuelle : « Les prix sont donc bas et les risques élevés. » Cette dynamique a eu un impact négatif sur la capacité du marché à poursuivre sa croissance à un rythme soutenu, et a entraîné une pénurie importante de cyberassurances. Des entretiens avec un courtier en assurance, des assureurs et des clients de Recorded Future confirment que le marché de la cyberassurance connaît une contraction importante. Les entreprises doivent faire face à une augmentation significative des primes pour souscrire et renouveler des polices d'assurance cyber offrant une couverture équivalente. Une entreprise a évoqué la possibilité de faire appel à dix assureurs différents pour renouveler une police d'assurance d'un montant total de 100 millions de dollars. La demande dépasse l'offre disponible, car les assureurs se retirent du marché. Le General Accountability Office des États-Unis a confirmé ces tendances : « La mesure dans laquelle l'assurance cyber restera accessible et abordable reste incertaine. » Malgré la tendance à la hausse des taux d'adoption observée jusqu'à présent, l'appétit et la capacité des assureurs à souscrire des risques cybernétiques ont récemment diminué, en particulier dans certains secteurs à haut risque tels que les soins de santé et l'éducation pour les entités du secteur public, selon le Council of Insurance Agents and Brokers, Marsh McLennan et A.M. Best.

La perte de l'accès à l'assurance cyber privée représente une menace pour les entreprises et nuit à l'intérêt public, à l'instar de l'assurance individuelle contre les inondations ou les incendies dans les zones sinistrales. Même si les gouvernements doivent intervenir en injectant des capitaux supplémentaires (devenant ainsi les assureurs de dernier recours) ou en améliorant la gouvernance, les contribuables méritent un meilleur modèle d'assurance contre les risques cybernétiques. Il est certain que les réassureurs jouent un rôle important dans la liquidité du marché, mais même eux sont confrontés à des « défis structurels et des risques systémiques, à l'augmentation des cyberattaques et à une accumulation des expositions ». Il peut s'agir notamment des expositions non affirmatives que nous appelons « cybermenaces silencieuses ». Les risques restent flous pour les assureurs et les réassureurs en raison de la difficulté d'attribuer les cyberattaques internationales et de la complexité des environnements techniques dans lesquels opèrent les entreprises. De plus, l'efficacité des contrôles techniques évolue fréquemment, ce qui rend les évaluations ponctuelles insuffisantes et oblige les souscripteurs traditionnels à recourir à des services d'audit tiers qui n'offrent qu'une visibilité partielle sur les risques. Un modèle de souscription amélioré est nécessaire pour restaurer la confiance des assureurs dans l'exposition aux risques et développer le marché mondial de l'assurance cyber, dans l'intérêt de l'économie mondiale.

Note de l'éditeur: Ce billet est un extrait d'un rapport complet. Pour lire l'intégralité de l'analyse, click here to download the report as a PDF.