Après avoir constaté une amélioration en six ans, l’ACPR appelle les assureurs à poursuivre leurs efforts en matière de risque cyber.

En matière de risque cyber, les assureurs peuvent encore mieux faire. Après une enquête réalisée par l’ACPR en la matière, le gendarme financier a souligné une amélioration dans le mouvement d’identification et de clarification des contrats des assureurs par rapport à 2018. Les assureurs s’attellent de plus en plus à définir et mettre en œuvre leur stratégie d’exposition au risque cyber, à réaliser la cartographie des expositions implicites par famille de contrats et à mettre en place de démarches de modification des contrats concernés.

Une première enquête décevante

De quoi changer la donne. Car, six ans plus tôt, une première enquête avait mis en évidence l’existence de couvertures implicites. « L’identification de ces garanties par les assureurs n’était pas systématique et l’incertitude sur l’existence et l’étendue de la couverture faisait courir un risque financier à la fois aux assureurs et aux assurés », détaille l’Autorité de contrôle prudentiel et de résolution.

Cette fois, « la plus grande partie des incertitudes liées à ces couvertures semble en voie d’être maîtrisée, mais il s’agit d’un travail de long terme et les travaux de modifications des polices sont encore en cours », poursuit l’ACPR. Dans quelques cas, certains organismes font le choix de conserver une couverture implicite, lorsqu’elle leur semble représenter un risque limité et être exempte d’ambigüité.

Pour autant, les assureurs sont toujours tenus de maîtriser l’exposition financière provenant de leurs couvertures. Or, « certains organismes interrogés ne paraissent pas encore en mesure de quantifier exhaustivement le risque porté par les couvertures cyber des contrats qui ne sont pas entièrement dédiés à la couverture de ce risque », regrette le gendarme financier.

Des consignes

Pour pallier ce problème, l’ACPR dresse une liste de consignes. Dans un premier temps, le gendarme financier demande aux professionnels « qui ne l’auraient pas encore fait », d’identifier l’ensemble des couvertures cyber et, le cas échéant, la clarification des clauses contractuelles afin d’éliminer l’ambiguïté juridique.

L'autorité de contrôle prudentiel et de résolution préconise, par ailleurs, la vérification que le maintien de couvertures implicites représente un risque maîtrisé.

Enfin, l'ACPR ajoute dans son cahier des charge l’évaluation financière exhaustive des risques portés, y compris en cas d’événement systémique, par l’ensemble des garanties cyber, qu’elles soient implicites ou explicites, accessoires ou principales, optionnelles ou non.