Pour le monde de la réassurance, le risque cyber, exponentiel à l’image de la digitalisation de la société, est une opportunité commerciale mais comment l’assurer quand le monde entier est interconnecté et que chaque nouvelle panne ou attaque crée une nouvelle situation ?
A Monaco, aux Rendez-vous de septembre des réassureurs, la rencontre annuelle des assureurs d’assureurs, le sujet passionne : tout le monde s’attend à une explosion du risque cyber, or personne n’a encore les outils pour le calculer, en raison de sa nouveauté. « Le marché de la cyber-réassurance est rentable pour les réassureurs », explique Manuel Arrivé de l’agence de notation Fitch. C’est un marché « prêt à poursuivre sa trajectoire de croissance, car la prise de conscience de la fréquence et de la sophistication des cyberattaques augmente après plusieurs incidents survenus cette année », indique également Swiss Re ajoutant que le nombre d’attaques au rançongiciel, quand les pirates demandent une rançon pour rendre l’accès à des données bloquées, a bondi de 84% en 2023 comparé à 2022.
La cybercriminalité coûterait jusqu’à 14.000 milliards de dollars par an d’ici 2028
Le Grand Palais, l’enseigne Boulanger, la maison d’enchères Christie’s et plusieurs hôpitaux, ont ainsi été victimes d’attaques récemment. Pour les réassureurs, celles contre le logiciel MoveIt Transfer ou les sociétés américaines Change Healthcare et Kaseya ont été particulièrement onéreuses. Hannover Re, l’un des plus grands réassureurs au monde, a créé une division spéciale pour aborder ce nouveau risque. « À mesure que le monde devient de plus en plus numérique, les risques de cybermenaces et de failles de sécurité augmentent », constate le patron du français Scor, Thierry Léger, qui estime qu' »aujourd’hui, la cybercriminalité dans le monde coûte environ 9.000 milliards de dollars par an », non-assurés, et pourrait atteindre « 14.000 milliards de dollars d’ici 2028 ». Le montant en lui-même n’inquiète pas les réassureurs, habitués à provisionner les sommes nécessaires à la réassurance des risques de leurs clients. Ce qui leur pose problème, c’est plutôt le caractère « systémique » de ce risque, avec comme épée de Damoclès la perspective de devoir verser des indemnisations supérieures aux primes versées.
Pas d’échelle de Richter
La panne causée par CrowdStrike au système d’exploitation de Microsoft en juillet n’a en fait, selon le groupe, concerné que 1% des ordinateurs fonctionnant sous Windows, mais cela a suffi pour bouleverser des aéroports, des banques et de nombreux autres services à travers le monde. « Il s’agissait d’une panne ou d’un incident à grande échelle chez un fournisseur de services informatiques entraînant une interruption généralisée, ou au moins des impacts, sur l’activité. C’est donc un excellent test pour nos modèles (statistiques permettant de calculer les risques) d’accumulation », a indiqué le PDG de Munich Re Thomas Blunck. « Il serait très peu probable que deux tremblements de terre majeurs frappent en même temps dans le monde. Avec le cyber, c’est complètement différent. Tout est corrélé et donc tout s’accumule, ce qui réduit massivement la diversification et augmente la pression que le cyber exerce sur les bilans du monde de l’assurance », explique M. Léger, car un virus ou une panne peuvent toucher plusieurs continents et secteurs d’activité en même temps.
Produits d’assurance : tout reste à inventer
La couverture d’un nouveau risque met parfois un peu de temps à se mettre en place dans le monde de l’assurance. « C’est très peu standardisé, il n’y a pas d’échelle de Richter qui permette d’évaluer les pertes a priori », souligne M. Arrivé. « Assureurs comme réassureurs préfèrent travailler sur la base de données historiques », constate Renaud Guidée, directeur général d’Axa XL, la branche réassurance d’Axa. Or, ici tout reste à inventer : modèles statistiques de prévision, contrats juridiques solides… « On tâtonne ensemble. Le produit qu’on propose le plus est un traité proportionnel : on va prendre une fraction du risque », explique Renaud Guidée. Contrairement aux contrats où le réassureur intervient à partir d’un certain montant de pertes, Axa XL prend ainsi en charge un pourcentage du risque quel que soit le montant. Munich Re a lui choisit d’exclure une partie des risques : « Maintenant que nous avons résolu le sujet de l’exclusion de la cyberguerre, (le cyber) est un domaine dans lequel nous nous attendons à une nouvelle croissance », a souligné M. Blunck. Il a fallu pour cela laisser tomber quelques contrats, mais « nous sommes toujours le plus grand souscripteur cyber du marché », assure-t-il.