Dans une note stratégique rédigée à l'attention des régulateurs européens, l'Eiopa rappelle les bonnes pratiques en matière de souscription et de gestion du risque cyber. Surtout, l'Autorité européenne de surveillance des assurances et des pensions professionnelles s'engage dans une série de mesures visant à renforcer la supervision en la matière.

L'Eiopa vient de rédiger et d'adresser à l'ensemble des régulateurs du vieux continent une note dans laquelle elle décline ses priorités stratégiques concernant le marché de l'assurance cyber. L'Autorité européenne de surveillance des assurances et des pensions professionnelles y indique notamment vouloir travailler à un marché de la cyberassurance solide « au profit de l'économie de l'Union européenne et de ses citoyens, tout en préservant la stabilité financière, l'intégrité du marché et la protection des investisseurs ».

Rappel des bonnes pratiques

Le gendarme a d'abord indiqué quelles étaient les pratiques de souscription et de gestion du risque cyber appropriées et comment sa supervision devait être mise en place pour promouvoir les bonnes pratiques. « Les régulateurs doivent veiller à ce que les assureurs disposent de solides outils de souscription et de gestion des risques […] notamment pour évaluer et atténuer leurs expositions aux couvertures silencieuses ou aux risques de cumuls potentiels », indique l'Eiopa.

Le gendarme emmené par Gabriel Bernardino souhaite également que chaque régulateur fasse la promotion des meilleures pratiques du marché pour « aider à atténuer le problème de l'aléa moral et donner aux assurés les bonnes incitations à limiter la survenance des risques ».

L'autorité encourage ensuite les régulateurs à poursuivre l'évaluation et la surveillance des attaques cyber potentiellement systémiques, cette dernière craignant que certains risques puissent devenir non-assurables à l'avenir. Enfin, l'Eiopa prône une plus grande transparence dans la définition et la contractualisation des risques cyber, insistant sur la nécessité de rendre disponibles au niveau européen l’ensemble des données qualifiées de chaque incident.

Actions à venir

Surtout, l'instance s'est engagée à mettre en place dans les prochains mois toute une série d'actions visant à renforcer contrôle et supervision du risque cyber.

D'abord, l'autorité va évaluer périodiquement les pratiques de souscription et de gestion des risques en matière de cyber et leur supervision pour « favoriser la convergence de la surveillance ».

L'Eiopa s'engage également auprès des assureurs et de la Commission européenne à considérer le marché du cyber comme secteur d'activité à part entière pour plus de clarté et une meilleure évaluation des risques. «  Cela pourrait également être un point de départ (dans le prolongement de la recommandation de l'Enisa en 2017 ) à la création d'exigences de couvertures minimales par type de risques, au-delà desquelles les assureurs peuvent constituer des couvertures supplémentaires ».

Le gendarme indique par ailleurs qu'il a débuté la collecte d'informations sur la souscription de risques cyber afin de les mettre à la disposition du public. « Des modifications sont actuellement proposées pour rendre compte de la souscription cyber dans le cadre de la revue de Solvabilité 2 », indique l'Eiopa, qui souhaite également instaurer des tests de résistance pour évaluer les vulnérabilités et les pertes potentielles « en consultation avec les fournisseurs de données externes et les sociétés d'analyse de cyber risques ».

Parmi les autres initiatives proposées par l'instance, la mise en place «  d'une taxonomie harmonisée de déclaration des incidents cyber pour étayer la modélisation de la souscription de ces risques » et développer une base de données centralisée et anonymisée sur les cyberincidents. Le gendarme indique enfin vouloir poursuivre le dialogue EU-USA pour favoriser l'échange de connaissances entre acteurs et régulateurs.