Face au risque de garanties cyber silencieuses dans les contrats d’assurance non-spécifique, le régulateur a émis des recommandations pour accompagner les assureurs face à cette exposition. Passage en revue des mesures à mettre en place.
Le risque cyber est considéré comme majeur pour les entreprises et 45 % d’entre elles déclarent avoir subi une attaque informatique en 2022 (1). En parallèle, les assureurs demeurent dans une relative ignorance de leur complète exposition. En effet, s’ils proposent désormais classiquement des polices d’assurance couvrant spécifiquement le risque cyber, en principe suffisamment appréhendé au moment de la souscription, ils conservent souvent dans leurs portefeuilles des polices non spécifiques à ce risque susceptibles d’être mobilisées en cas d’incident. Il s’agit des situations de garanties silencieuses couvrant le risque cyber sans qu’il n’ait été ni expressément prévu, ni formellement exclu aux termes de la police. Cette insuffisance d’appréhension du risque cyber dans les situations de garanties silencieuses n’est pas sans révéler un certain péril. L’Autorité européenne des assurances et des pensions professionnelles (EIOPA) soulignait à ce titre en octobre 2020 l’absence d’exclusions explicites du risque cyber dans nombre de polices du marché et l’insuffisante connaissance des assureurs quant à leur propre exposition (2). Cette exposition insuffisamment maîtrisée des assureurs face à ce type de risque, ainsi qu’une incertitude pour les assurés sur l’étendue des dommages couverts, a conduit le régulateur à réagir et à émettre des recommandations à l’adresse des assureurs.
I- Le risque cyber insuffisamment appréhendé
Le risque cyber est défini par la Direction générale du Trésor (3) comme étant un risque opérationnel...
