En partenariat avec Option Finance, la Tribune de l’assurance a organisé la quatrième édition des Défis de l’assurance consacrée à l’analyse des tendances et évolutions du secteur assurantiel au regard des enjeux actuels tels que la transition énergétique et la recrudescence des fraudes. Les intervenants ont présenté leurs visions ainsi que les solutions possibles pour les entreprises du secteur.
Les nouveaux défis du secteur de l’assurance
Les défis auxquels sont aujourd’hui confrontés les experts de l’assurance sont nombreux. En premier lieu desquels se trouvent l’inflation et la remontée des taux. « Si l’on se replace dans une perspective historique, ce sont des chocs qui ont été extrêmement violents. L’inflation a bondi et, en quelques mois, nous avons effacé dix années de baisse continue des taux. C’est un choc brutal avec des conséquences importantes sur l’industrie de l’assurance vie », souligne Pascal Demurger, directeur général de la Maif.
Autre enjeu majeur, celui de l’accélération de la menace climatique. « Nous nous souvenons tous de ce que disait Henri de Castries en 2015 : " Un monde à +4 degrés est un monde inassurable. " Désormais, les pouvoirs publics travaillent sur cette hypothèse. Un monde à +4 degrés est un monde où la multiplication des catastrophes naturelles va être considérable. » Enfin, le directeur de la Maif entend alerter sur d’autres risques, moins brutaux mais « qui auront sans conteste un impact sur l’organisation de nos entreprises », à l’instar de « l’émergence d’une relation beaucoup plus transactionnelle et beaucoup plus court-termisme au travail ». Cela pose question au sein des organisations qui ont la volonté de créer un solide sentiment d’appartenance.
L’assurance face aux nouveaux défis du nucléaire
Le conflit en Ukraine questionne la sécurité énergétique de l’Europe. Dans ce contexte, le rôle du nucléaire est rediscuté et considéré comme un facteur clé de l’objectif européen d’autosuffisance énergétique. Dans le cadre des investissements du plan « France 2030 », la filière du nucléaire bénéficie de 1,2 Md€ de fonds publics destinés à accompagner le développement d’une industrie nucléaire « souveraine et durable ». La filière, qui nécessite d’énormes investissements, doit être assurée contre divers types de risques liés à l’exploitation des centrales mais aussi au transport de matériaux nucléaires. Quelles réponses de la part des assureurs ?
Le nucléaire n’a jamais été autant d’actualité en France. Face au risque énergétique et au risque de souveraineté, le gouvernement prévoit la construction de six nouveaux EPR d’ici 2035. Au-delà de cette date, sept nouvelles constructions sont envisagées. Un nouvel élan pour une industrie longtemps déclassée, explique Louis Meunier, directeur des assurances, Vinci énergies : « En France, au cours des dix dernières années, nous n’étions pas du tout dans une perspective de relance de la filière. L’opinion publique était alors majoritairement hostile au nucléaire. En l’espace de quelques années, la crise sanitaire et la guerre en Ukraine ont retourné l’opinion publique. » En France, le marché du nucléaire est vaste. Il se compose des exploitants auxquels il faut ajouter les prestataires, soit quelque 3 000 entreprises au total, employant 220 000 salariés. Une industrie qui, à court et moyen terme, devrait être amenée à croître de façon sensible.
La Convention de Paris rebat les cartes
Pour les assureurs spécialisés dans la filière, l’un des textes phares est celui de la Convention de Paris. « Il a fallu mettre en cohérence les polices d’assurance avec cette Convention, ce qui a beaucoup occupé les assureurs, les courtiers et les réassureurs à l’été 2022 », explique Nicolas Tilmant-Tatischeff, responsable souscription grands risques responsabilité civile, Axa XL. à la demande des états membres, la Convention de Paris a été révisée. Ce texte régit la responsabilité des exploitants nucléaires selon le principe de la canalisation de la responsabilité sur les exploitants. « Cette révision de la convention n’est pas venue étendre la responsabilité des constructeurs. La responsabilité repose sur les exploitants et c’est une logique qui perdure », souligne Louis Meunier, directeur des assurances, Vinci énergies.
Parmi les risques assurables se trouvent notamment les dommages immatériels, les coûts de sauvegarde des milieux pouvant être atteints par des catastrophes nucléaires, ainsi que la réparation du manque à gagner de tiers tels que des restaurateurs ou des prestataires de services empêchés d’exercer leur activité à la suite d’une catastrophe nucléaire.
Trois types de risques assurables
Depuis les débuts de la filière impulsés par le général de Gaulle en 1945, le nombre de risques assurables a grandi. « Assuratome est né en 1957. Au départ, avec des polices RCEN (responsabilité civile énergie nucléaire). Nous nous sommes par la suite positionnés sur les dommages et les transports. Puis est venue ensuite l’assurance tous risques chantiers », explique Henri Gurs, managing director, Assuratome. Il ajoute : « Nous devons être attentifs à l’évolution des besoins. Par exemple, l’assurance des prestataires nucléaires n’était pas nécessairement en place dès les années 1950, mais avec la relance du nucléaire, celle-ci devient d’actualité. » Il existe ainsi aujourd’hui trois principaux risques dont se sont emparés les assureurs. Les deux les plus facilement identifiables sont les risques liés aux exploitants nucléaires ainsi que les risques liés aux prestataires nucléaires.
À ces deux premières catégories s’ajoute l’ensemble des dommages causés par les autres intervenants. « À titre d’exemple, l’industrie utilise assez largement des sources nucléaires. C’est le cas par exemple des portiques de sécurité en aéroport, mais également des hôpitaux qui utilisent le nucléaire pour les technologies scanner et radio », explique Nicolas Tilmant-Tatischeff. Pour ces utilisations, les risques les moins importants sont couverts par l’assurance responsabilité civile. En fonction de la puissance des sources nucléaires, certains usages sont soumis à une simple déclaration d’autres à une déclaration auprès de l’ASN (Autorité de sûreté nucléaire).
Couverture spécifique et risques construction
Les assureurs doivent aujourd’hui être présents pour la couverture de l’ensemble de ces risques. Néanmoins, tous ne sont pas spécialistes. « Le risque nucléaire effraie les assureurs : une entreprise qui a du nucléaire dans ses activités n’est donc pas très attractive », constate Louis Meunier. Seule solution : faire appel à des experts. « Cela reste des couvertures difficilement accessibles. Il est donc primordial de s’adresser aux bons interlocuteurs. Chez Vinci énergies, nous sommes accompagnés par le cabinet de courtage Diot-Siaci et nous nous adressons pour partie à Axa XL pour notre RC prestataires nucléaires », détaille Louis Meunier. à l’instar des polices plus classiques, le durcissement des exclusions et les réductions des capacités sont des évolutions avec lesquelles les entreprises doivent aujourd’hui composer. Pour l’heure, les assureurs se positionnent sur l’ensemble de la chaîne de la filière, depuis l’exploitation au transport en passant par la construction de nouveaux ERP. « Il faut néanmoins bien distinguer les interventions réalisées sur des installations en exploitation de celles qui concernent les nouvelles constructions. Pour les ERP en phase de construction, l’assurance s’attache aux risques de constructions classiques. C’est un risque qui s’étend sur plusieurs années », explique Nicolas Timant-Tatischeff. Avec une volonté gouvernementale affichée d’allonger les durées d’exploitation, les centrales font aujourd’hui face à l’enjeu de maintenance du parc existant. « Ce sont des enjeux de durabilité qui nécessitent une politique de grands travaux. à titre d’exemple, aux États-Unis, à l’heure actuelle, la réflexion sur le maintien en exploitation d’une centrale porte aujourd’hui sur une durée de vie de quatre-vingts ans », poursuit Nicolas Tilmant-Tatischeff.
Nouveaux entrants
Au-delà du maintien des sites et de la construction de nouvelles centrales, de nouveaux acteurs émergent. Ils utilisent le nucléaire pour la création de modules de production d’électricité ou de chaleur. « Ces solutions innovantes ont été imaginées à partir de solutions nucléaires éprouvées et moins risquées que les techniques nucléaires utilisées par les centrales », explique Nicolas Tilmant-Tatischeff. La France n’est pas en reste dans la course au développement, avec de nouveaux acteurs qui émergent, à l’instar de Naarea ou encore de Newcleo. « Si aujourd’hui, le nucléaire est essentiellement utilisé pour produire de l’électricité, nous aurons demain des projets destinés à produire de la chaleur, soit pour des réseaux de chauffage urbain, soit pour des industriels », abonde Henri Gurs. Un acteur tel que Naarae a ainsi pour projet de réaliser 2 Md€ d’investissement d’ici à 2030. De nouvelles sources d’opportunités pour les assureurs et notamment pour ceux les plus en pointe sur la filière nucléaire.
Comment protéger les entreprises du risque de fraude ?
Si le risque de fraude est constant, certaines circonstances peuvent l’amplifier. C’est le cas notamment de la crise sanitaire, période au cours de laquelle les entreprises ont accéléré leur transition numérique et le travail à distance. Deux changements de paradigme qui ont induit une augmentation des risques de fraude internes et externes, mais également des risques cyber. De quelle façon les entreprises peuvent-elles se prémunir contre le risque de fraude ? Comment l’assurance répond-elle à cet enjeu majeur de sécurité ?
Si les fraudes sont protéiformes, elles ont toutes un point commun : chacune fait suite à une intrusion dans les systèmes d’information de l’organisation. Cette intrusion permet au fraudeur de découvrir des vulnérabilités dans les systèmes, mais également de dérober informations confidentielles et données personnelles.
De la cyberattaque à la fraude interne
On identifie communément trois types de fraudes. La première, sans conteste la plus connue, est la cyberattaque. Dans ce cas, l’opération malveillante consiste à aller chiffrer une partie du logiciel ou du système de l’entreprise. En contrepartie du mot de passe permettant de débloquer le système, le fraudeur demande une rançon. à noter, la loi d’orientation et de programmation du ministère de l’Intérieur (Lopmi) – adoptée en octobre 2022 – valide le principe de l’indemnisation des rançons payées par les entreprises par les assureurs. La fraude externe peut utiliser différentes méthodes dont les plus connues sont le phishing (envoi d’un SMS, d’un e-mail qui fait intrusion dans le système informatique) et l’utilisation de logiciels malveillants qui permettent au fraudeur d’intégrer un programme malveillant dans les systèmes informatiques de l’entreprise. D’autres fraudes externes plus rudimentaires existent, il peut s’agir de la fraude au faux président, faux fournisseur ou encore faux client. Enfin, la fraude interne est caractérisée par une attaque en provenance même de l’entreprise. Le collaborateur agit alors pour un tiers ou pour lui-même. « Même si ce type de fraude est moins fréquent, il reste le plus important en termes de montants. Chez Allianz Trade, ce sont les fraudes qui génèrent les indemnisations les plus importantes », met en garde Nicolas Petitfils, responsable du département opérations structurées et spécialités, Allianz Trade.
De l’importance de la prévention
Selon l’enquête baptisée Lucy sur les cyber-risques en entreprises et réalisée par l’Amrae (Association pour le management des risques et des assurances des entreprises), la sinistralité en matière de fraudes est en baisse. « Ce n’est pas du fait d’une baisse de la criminalité, bien au contraire, les risques s’intensifient. Ces résultats témoignent d’une meilleure prévention de la part des entreprises qui se sont emparées de ces sujets », analyse Anne Piot d’Abzac, vice-présidente, administrateur et secrétaire générale de l’Amrae, VP corporate governance & chief risk officer, Ipsen Pharma. Pour que la prévention soit efficace, il faut qu’elle soit portée au plus haut niveau de l’entreprise. « La première étape consiste à analyser en profondeur le profil de risque de l’entreprise. Celui-ci est fonction de trois éléments : l’activité, le lieu géographique et la culture d’entreprise », explique Anne Piot d’Abzac. Concrètement, il s’agit d’analyser un ensemble de signaux faibles, tels que l’ambiance générale de l’organisation, la pression sur les commerciaux qui, si elle est trop forte, pourrait induire des comportements de fraudes à l’interne. Des éléments chiffrés, tels que l’évolution brutale du chiffre d’affaires à la hausse comme à la baisse, sont à prendre en compte. Un écosystème interne à placer au regard de l’environnement dans lequel évolue l’organisation. « Nous connaissons tous l’indice de perception de corruption des pays. Si une organisation évolue dans un pays à risque, c’est à prendre en compte », souligne Anne Piot d’Abzac.
Prise en charge des frais relatifs à l’intrusion
Lorsqu’il s’agit de mettre en place une police de protection du risque de fraude, les experts de l’assurance travaillent eux aussi à partir du profil de risque de l’organisation. « À chaque nouveau contrat, nous nous inscrivons dans une démarche préventive. Nous posons des questions à l’entreprise sur ses procédures et son organisation pour essayer de scanner d’éventuelles vulnérabilités. C’est sur la base de cette étude que nous déterminons notre proposition d’assurance », explique Nicolas Petitfils. Allianz Trade propose une solution combinée couvrant à la fois la malveillance informatique et une partie de la perte d’exploitation. Dans ce cas, les frais relatifs à l’intrusion sont pris en charge : frais de remise en état, frais de décontamination ainsi que les frais liés aux démarches RGPD. Des exclusions existent, à commencer par celle d’un risque déjà passé et connu. La solution proposée par Allianz Trade ne couvre pas les amendes de la Cnil : « Ce sont des garanties particulières qui requièrent un audit beaucoup plus technique », explique Nicolas Petitfils. Chaque contrat doit donc répondre aux besoins spécifiques de l’organisation, d’où l’importance d’opérer en amont le profil de risque de l’entreprise. Pour le traitement du sinistre, un certain nombre d’étapes doit être respecté, à commencer par le dépôt de plainte. C’est la clé qui permettra la matérialisation du sinistre et déclenchera la procédure. Vient ensuite la discussion autour de la preuve. « C’est une discussion d’experts qui vont venir challenger l’histoire auprès de l’entreprise, un espace d’arbitrage sur la base de la matérialité du sinistre », indique Nicolas Petitfils.
Bien au-delà des conséquences financières
Les experts sont formels. Les conséquences pour l’organisation vont bien au-delà de l’impact financier. « Il y a un enjeu de réputation fort. Une entreprise victime de fraude perd tout crédit auprès de ses partenaires financiers. Par ailleurs, le risque ressources humaines est réel. Il n’est pas rare qu’à la suite d’un sinistre, les employés se sentent en insécurité et perdent toute confiance en l’organisation. La performance globale en pâtit », constate Anne Piot d’Abzac. Seule solution, intensifier la prévention, organiser la culture d’entreprise autour du risque et la présenter régulièrement à l’ensemble des collaborateurs.
Il apparaît par ailleurs que les organisations en silo peinent davantage à détecter les signaux faibles de fraudes. « Il est à mon sens essentiel que les différentes fonctions de l’entreprise échangent de manière régulière sur ces sujets. Chez Ipsen, par exemple, nous avons le contrôle interne, l’éthique et compliance, le risk management, la sécurité, la finance. Autant de fonctions qui ont leur prisme et qui vont collaborer. C’est à mon sens essentiel pour partager l’information et s’alerter. Cela permet d’être efficace », conclut Anne Piot d’Abzac.