Le directeur général de l’une des plus grandes compagnies d’assurance européennes a averti que les cyberattaques, plutôt que les catastrophes naturelles, deviendront « non assurables » à mesure que les perturbations causées par les piratages continueront de croître.
Les dirigeants d’assurance se sont de plus en plus exprimés ces dernières années sur les risques systémiques, tels que les pandémies et le changement climatique, qui mettent à l’épreuve la capacité du secteur à fournir une couverture. Pour la deuxième année consécutive, les sinistres liés aux catastrophes naturelles devraient dépasser les 100 milliards de dollars.
Mais Mario Greco, directeur général de l’assureur Zurich, a déclaré au Financial Times que le cyber était le risque à surveiller.
« Ce qui deviendra non assurable sera le cyber », a-t-il déclaré. « Et si quelqu’un prenait le contrôle de parties vitales de notre infrastructure, les conséquences de cela? »
Les attaques récentes qui ont perturbé des hôpitaux, fermé des pipelines et ciblé des ministères ont tous alimenté l’inquiétude face à ce risque croissant parmi les dirigeants de l’industrie.
En se concentrant sur le risque pour la vie privée des individus, il manquait une vue d’ensemble, Greco a ajouté : « Tout d’abord, il doit y avoir une perception qu’il ne s’agit pas seulement de données. . . c’est une question de civilisation. Ces personnes peuvent gravement perturber nos vies.
La montée en flèche des cyberpertes ces dernières années a incité les souscripteurs du secteur à prendre des mesures d’urgence pour limiter leur exposition. En plus de faire monter les prix, certains assureurs ont réagi en modifiant leurs polices afin que les clients conservent davantage de pertes.
Des exemptions sont inscrites dans les politiques pour certains types d’attaques. En 2019, Zurich a initialement rejeté une réclamation de 100 millions de dollars de l’entreprise alimentaire Mondelez, découlant de l’attaque de NotPetya, au motif que la politique excluait une « action guerrière ». Les deux parties se sont ensuite arrangées.
En septembre, Lloyd’s of London a défendu une décision visant à limiter le risque systémique lié aux cyberattaques en demandant que les polices d’assurance souscrites sur le marché bénéficient d’une exemption pour les attaques soutenues par l’État.
À l’époque, un cadre supérieur de Lloyd’s a déclaré que le déménagement était « responsable » et préférable d’attendre « quand tout s’est mal passé ». Mais la difficulté d’identifier les auteurs des attaques et leurs affiliations rend ces exemptions juridiquement lourdes, et les cyber-experts ont averti que la hausse des prix et des exceptions plus importantes pourraient dissuader les personnes d’acheter une protection.
Greco a déclaré qu’il y avait une limite à ce que le secteur privé peut absorber, en termes de souscription de toutes les pertes résultant des cyberattaques. Il a appelé les gouvernements à « mettre en place des programmes privés-publics pour gérer les cyber-risques systémiques qui ne peuvent être quantifiés, similaires à ceux qui existent dans certaines juridictions pour les tremblements de terre ou les attaques terroristes ».
En septembre, le gouvernement américain a demandé si une réponse d’assurance fédérale au cyber était justifiée, ce qui pourrait faire partie ou en dehors de son programme actuel d’assurance public-privé contre les actes de terrorisme.
Un rapport publié en juin par le Government Accountability Office des États-Unis a mis en évidence la possibilité que les cyberincidents « se propagent » à d’autres entreprises liées. Il a déclaré que des exemples tels que le piratage du Colonial Pipeline, qui a créé des pénuries temporaires d’essence dans le sud-est des États-Unis, ont démontré « la possibilité qu’un seul cyberincident puisse se répercuter sur des infrastructures critiques avec des conséquences catastrophiques ».
Greco a également salué les mesures prises par le gouvernement américain pour décourager les paiements de rançon. « Si vous limitez le paiement des rançons, il y aura moins d’attaques. »