L'ACPR a réalisé une enquête auprès d'un échantillon d’organismes d'assurance sur leur gestion des garanties implicites couvrant le risque cyber. Elle fait suite à une première enquête sur l’assurance des risques cyber en 2018, qui avait mis en évidence l’existence de couvertures implicites. L’identification de ces garanties par les assureurs n’était pas systématique et l’incertitude sur l’existence et l’étendue de la couverture faisait courir un risque financier à la fois aux assureurs et aux assurés.
L’enquête menée en 2023 a mis en évidence que le mouvement d’identification et de clarification des contrats est bien avancé. Il implique la définition et la mise en œuvre d’une stratégie d’exposition au risque cyber, la réalisation de la cartographie des expositions implicites par famille de contrats, la mise en place de démarches de modification des contrats concernés.
La plus grande partie des incertitudes liées à ces couvertures semble en voie d’être maîtrisée, mais il s’agit d’un travail de long terme et les travaux de modifications des polices sont encore en cours. Ceux-ci conduisent dans la plupart des cas à expliciter la couverture effective du risque cyber ou son exclusion dans le contrat. Dans quelques cas, certains organismes font le choix de conserver une couverture implicite, lorsqu’elle leur semble représenter un risque limité et être exempte d’ambigüité.
Néanmoins, la nécessité de maîtriser l’exposition financière provenant des couvertures ainsi réexaminées demeure. Or certains organismes interrogés ne paraissent pas encore en mesure de quantifier exhaustivement le risque porté par les couvertures cyber des contrats qui ne sont pas entièrement dédiés à la couverture de ce risque.
Ces constats amènent l’ACPR à recommander
- aux assureurs qui ne l’auraient pas encore fait, l’identification de l’ensemble des couvertures cyber et, le cas échéant, la clarification des clauses contractuelles afin d’éliminer l’ambiguïté juridique
- la vérification que le maintien de couvertures implicites représente un risque maîtrisé
- l’évaluation financière exhaustive des risques portés, y compris en cas d’événement systémique, par l’ensemble des garanties cyber, qu’elles soient implicites ou explicites, accessoires ou principales, optionnelles ou non.