Cyber : les exigences de l’EIOPA

En début d’année, l’AMRAE annonçait à Deauville la création d’une société d’assurance mutuelle par un groupement d’entreprises européennes, dénommée MIRIS (Mutual Insurance and Reinsurance for Information Systems) et domiciliée en Belgique. Le type de couverture proposé ? Une couverture cyber mondiale à destination de ses membres uniquement, qui sont de grandes entreprises allemandes (comme BASF), françaises (Airbus, Sonepar, Adea, Veolia Environnement, Michelin) et belges avec Solvay.

Les grandes entreprises européennes, faute d’offre assurantielle satisfaisante, créent leur propre couverture avec leur propre politique de gestion des risques sous le regard des assureurs et des autorités assurantielles continentales.

Quelques mois plus tard, les 10 et 11 mai derniers, l’EIOPA publie des recommandations pour les assureurs cyber en place dans lesquelles elle pointe les points faibles structurels du marché.

Dans le premier communiqué, l’EIOPA insiste sur l’importance d’inclure certaines exclusions pour ne pas trop s’exposer à un risque systémique, pour garantir l’assurabilité du risque tout en communiquant clairement auprès des assurés sur ces exclusions.

Elle pointe également du doigt le faible niveau général de qualité rédactionnelle des polices d’assurance Cyber lorsqu’il s’agit des exclusions. Ce manquement a pour inconvénients d’augmenter l’incertitude relative à l’exposition, de créer de nombreux conflits avec les assurés et d’affecter l’image de l’assureur.

En particulier, l’EIOPA cite l’exemple de la guerre en Ukraine qui augmente le nombre d’attaques inassurables pour fait de guerre et par conséquence augmente l’écart entre la protection réelle offerte par les polices et le risque cyber général. Puis elle rappelle la base de la construction d’un produit d’assurance comme l’importance de l’intelligibilité du contrat par l’assuré et d’une promotion des produits par une publicité cohérente avec le contenu des garanties et non mensongère.

Enfin, l’EIOPA souligne la propension historique des assureurs à se trouver en retard de phase sur ces sujets en prenant l’exemple de la crise covid-19 qui a mis en évidence la capacité toute relative des assureurs à gérer leurs risques systémiques et les limites de la rédaction des conditions générales des contrats.

Dans le second communiqué, l’EIOPA demande aux autorités nationales compétentes (NCA) de porter une attention particulière à la supervision des engagements silencieux pris par les assureurs. Un sentiment de déjà vu près de 3 ans après le communiqué de presse de l’ACPR du 12 novembre 2019 qui évoquait déjà « Une exposition au risque encore mal maîtrisée, notamment concernant les garanties implicites que recèlent les contrats. »

L’EIOPA insiste sur l’importance du rôle de la fonction clé gestion des risques pour le risque cyber et sur l’utilité d’un cadre d’appétence au risque performant et de la mise en œuvre de mesures d’atténuation des risques (transfert de risques via la réassurance et réduction du risque via des normes de cyber sécurité suffisamment hautes). L’organisation européenne demande également de suivre avec attention la mesure de l’exposition en particulier silencieuse, à la clarification des polices d’assurance et milite également pour l’utilisation d’une terminologie plus claire et harmonisée entre les assureurs.

A l’avenir, le marché européen des grandes entreprises devra s’adapter à ces défis pour se consolider tandis que le marché des TPE/PME, encore balbutiant, devra se construire de manière résiliente et structurée pour se développer.

• dans la création d’une offre cyber : définition de garanties, modélisation et tarification
• dans la construction de vos scenarii ORSA autour de ce risque.