Assurance cyber : Bercy rêve d'une mutualisation tous azimuts

Entre automatisation, mutualisation et titrisation du risque, le ministère de l’Économie esquisse un plan d’action pour développer l’assurance cyber.

L’État doit-il prendre en charge le risque cyber ? À Bercy, on n’est pas de cet avis. « La réflexion sur une éventuelle intervention publique […] apparaît prématurée », affirme la Direction générale du Trésor. Priorité à une meilleure appréhension du risque et au renforcement des capacités de mutualisation.

La dynamique du marché n’est pas favorable à ce renforcement. Les conditions d’assurance se sont durcies pour les grandes entreprises. Si bien que leur taux de couverture a diminué de 4,4 points entre 2020 et 2021 (données AMRAE).

Pour pallier la contraction des capacités, le Gouvernement appelle au développement des captives de réassurance. Ces organismes limitent leur activité à la souscription des risques de leur groupe. En plus de professionnaliser la gestion interne du risque, ils offrent une opportunité de mutualisation financière. Les provisions qu’ils constituent permettent un lissage dans le temps, favorisant la gestion des risques exceptionnels.

captive de réassurance — Par rapport aux captives d’assurance, ces organismes ont un accès plus fin aux informations concernant les risques réassurés. Ce qui offre des possibilités de montages plus fins. Ils permettent par ailleurs un accès à des capacités supplémentaires via des rétrocessions à des assureurs, avec lesquels les entreprises ne pourraient pas traiter directement.

Mutualiser la structure sans mutualiser les risques

Stimuler le développement de ces structures implique, selon la DG Trésor, d’adapter le cadre juridique. Actuellement, il n’est possible de recourir qu’aux provisions pour égalisation… dont les paramètres techniques ne sont pas adaptées aux captives de réassurance et dont le champ ne couvre pas le risque cyber.

En plus d’étendre ce champ, Bercy propose de donner aux captives de réassurance la possibilité de provisionner en franchise d’impôt les excédents d’une année. Pour les utiliser lors d’exercices ultérieurs, afin de lisser les bénéfices dans le temps et de se protéger contre des risques à long terme.

Ces évolutions « pourraient intervenir dès 2023 après adaptation du Code général des impôts et du Code des assurances. À moyen terme pourraient émerger des captives par compartiment (permettant à différentes entreprises d’utiliser une structure commune sans pour autant mutualiser leur risque).

Mesurer le risque cyber : la perspective d’une base nationale

Également à moyen terme, Bercy entend mettre en place un Observatoire de la menace cyber. Il est question de le placer sous l’égide de l’ANSSI, avec l’appui du GIP ACYMA. Il superviserait notamment la construction d’une base de données nationale mutualisée entre les assureurs et la puissance publique.

En toile de fond, le manque de data pour mesurer le risque cyber. D’une part, on dispose d’un historique limité. D’autre part, les organismes victimes communiquent peu. Il y a bien des exigences de reporting, mais elles ne s’appliquent qu’à une liste d’acteurs ciblés – en tête desquels les OSE et les OIV.

En outre, les méthodes traditionnelles d’analyse ne suffisent pas à modéliser le risque cyber. Vu l’évolution des menaces, l’observation des sinistres passés n’est pas forcément représentative.

En attendant la constitution d’une base nationale, Bercy évoque deux pistes. D’un côté, les approches bayésiennes. C’est-à-dire l’intégration d’une connaissance préliminaire (études, analyses) à des données d’expérience. De l’autre, le recours à l’IA. Et de donner l’exemple de Citalid, start-up qui a mixé modèles actuariels, expertise cyber et données ouvertes de renseignement sur les menaces.

Assurance paramétrique : jusqu’où automatiser ?

À long terme pourrait se développer le transfert du risque aux marchés de capitaux. Le véhicule : des titres financiers dont la valeur est déterminée par la survenance d’un sinistre.

Une étape préalable – et qui faciliterait cette titrisation – réside dans l’assurance paramétrique. Celle-ci permet le versement automatique d’une prestation établie en fonction des lors qu’on franchit un seuil de déclenchement de la couverture.

Le principe s’est notamment développé pour les catastrophes naturelles. Avec, entre autres indices, la vitesse du vent et le niveau des précipitations. Dans le domaine cyber, on étudie par exemple la durée d’interruption d’accès à un service cloud.

La plupart des sinistres cyber étant de faible intensité, l’assurance paramétrique permettrait une indemnisation adéquate de l’essentiel des victimes, nous explique-t-on. En sachant tout de même que le cyber regroupe des garanties qui demandent une expertise humaine. Particulièrement celles qui touchent à la responsabilité civile. Et qu’il existe des limites dans le droit. Le principe indemnitaire en assurance de dommages aux biens en est un. Il pose que le montant de l’indemnité ne peut dépasser le montant de la valeur de la chose assurée au moment du sinistre.

À lire sur le même sujet : « Assurance cyber : au-delà des ransomwares, les pistes juridiques de Bercy »

Lire aussi : Assurance cyber : le marché français en 9 chiffres