En 2023, le risque Cyber demeure un casse-tête pour nombreux assureurs. Les dernières années ont justement accentué la crise de ce marché. Que ce soit la guerre en Ukraine, les récentes attaques subies par des courtiers, ou encore la création d’une mutuelle par capitalisation de grands industriels (MIRIS), le risque Cyber est au cœur de discussions intenses au sein des acteurs du monde de l’assurance. D’ailleurs, l’ACPR a récemment rappelé à l’ordre les organismes d’assurance sur les risques de cyberattaques en appelant à renforcer leur dispositif de gestion des risques et la qualité de leurs plans de continuité d’activité et de secours informatique. C’est dans cette dynamique que l’Autorité Européenne des Assurances et des Pensions Professionnelles (EIOPA) n’a pas dit son dernier mot.

Les recommandations de stress tests de l’EIOPA visent le risque opérationnel et technique

Pour rappel, elle avait déjà publié le 10 et 11 mai derniers, des recommandations pour les assureurs Cyber en pointant les points faibles structurels du marché. C’est d’ailleurs dans cette continuité qu’elle publia le 24 novembre une nouvelle note qui s’oriente sur les principes méthodologiques des stress tests de l’assurance Cyber, reposant sur une enquête réalisée auprès des acteurs du marché.

L’autorité européenne distingue, dans la définition et la proposition de stress-tests, le risque opérationnel et le risque technique. Toutes les compagnies d’assurance sont exposées au risque opérationnel et l’EIOPA expose des scénarios et des approches de cyber résilience pour le mesurer et le maîtriser. Le risque technique concerne les compagnies qui émettent des polices Cyber affirmatives et celles ayant de l’exposition Cyber silencieuse, souvent liées à des polices de responsabilité civile. L’EIOPA propose des scénarios et des approches adaptées au risque induit par la souscription qui reposent sur l’évaluation de la qualité et de la fiabilité des modèles de souscription.

Decryptage du dernier communiqué EIOPA

Dans ce communiqué, l’EIOPA souligne l’importance capitale des tests de stress. En effet, ces stress tests donnent une évaluation de la capacité des assureurs à faire face à des scénarios adverses adaptés à leur profil de risque et leur exposition.

L’EIOPA pointe également les différents types d’événements et d’incidents tels que les pertes de données, l’interruption d’activité, la réputation, ou encore les coûts de récupération. Elle souligne certaines spécificités du risque technique, lié aux engagements, en sensibilisant sur la perte possible de confiance envers les assureurs. Pour cela, elle préconise une gestion des risques en priorisant la protection des entreprises assurées en leur garantissant une continuité des activités. 

Les hypothèses clés mises en avant par l’EIOPA permettent de mieux considérer les scénarios évoqués : d’abord en les définissant (DDOS, rançongiciel ou encore violations de données), puis en décrivant les modèles de perte utilisés pour l’évaluation des pertes directes, indirectes et des coûts de récupération. Elle examine également les différents assureurs et les produits d’assurance qui peuvent être inclus au champ d’application des stress tests. 

Enfin, l’EIOPA détaille les scénarios conseillés en fixant les critères de sélection tels que la pertinence, la sévérité ou encore l’ajustement des probabilités de survenance. Elle inclut d’ailleurs des considérations supplémentaires sur des scénarios liés à la réglementation ou des scénarios basés sur des événements réels. Elle rappelle les méthodes de mesure de l’exposition des assureurs au risque Cyber et tient à souligner l’importance des scénarios de résilience pouvant impacter la capacité des assureurs à gérer les impacts financiers et les perturbations des activités commerciales. 

À travers toutes ces communications, l’EIOPA souhaite fournir des orientations aux parties prenantes du marché de l’assurance, qui a toujours un potentiel de croissance mais qui reste volatile. Les assureurs sont en concurrence avec l’auto-assurance pour les plus grosses entreprises via la création de captives, et avec l’absence de couverture d’assurance notamment pour les PME. Les assurés attendent non seulement une indemnisation en cas de sinistre, mais également que leurs assureurs puissent leur offrir une protection reposant à la fois sur la revue des mesures préventives et en offrant des garanties d’accompagnement à la reprise d’activité en cas d’incident.