L'ACPR a réalisé une enquête auprès d'un échantillon d’organismes d'assurance sur leur gestion des garanties implicites couvrant le risque cyber. Elle fait suite à une première enquête sur l’assurance des risques cyber en 2018, qui avait mis en évidence l’existence de couvertures implicites. L’identification de ces garanties par les assureurs n’était pas systématique et l’incertitude sur l’existence et l’étendue de la couverture faisait courir un risque financier à la fois aux assureurs et aux assurés.

L'enquête menée en 2023 a mis en évidence que le mouvement d'identification et de clarification des contrats est bien avancé. Il implique la définition et la mise en œuvre d'une stratégie d'exposition au risque cyber, la réalisation de la cartographie des expositions implicites par famille de contrats, la mise en place de démarches de modification des contrats concernés.

La plus grande partie des incertitudes liées à ces couvertures semble en voie d'être maîtrisée, mais il s'agit d'un travail de long terme et les travaux de modifications des polices sont encore en cours. Ceux-ci conduisent dans la plupart des cas à expliciter la couverture effective du risque cyber ou son exclusion dans le contrat.

Dans quelques cas, certains organismes font le choix de conserver une couverture implicite, lorsqu'elle leur semble représenter un risque limité et être exempte d'ambiguïté.

Dans ce contexte, l'ACPR recommande aux assureurs qui ne l'auraient pas encore fait l'identification de l'ensemble des couvertures cyber et, le cas échéant, la clarification des clauses contractuelles afin d'éliminer l'ambiguïté juridique.