Débloquez gratuitement l’Editor’s Digest
Roula Khalaf, rédactrice en chef du FT, sélectionne ses histoires préférées dans cette newsletter hebdomadaire.
Le secteur des assurances se prépare à des pertes qui pourraient atteindre des milliards après que la panne informatique mondiale de la semaine dernière a révélé les vulnérabilités d’une économie mondiale fonctionnant sur une poignée de plateformes logicielles.
Des secteurs allant des compagnies aériennes aux détaillants ont été plongés dans la tourmente vendredi après qu’une mise à jour bâclée de la société de sécurité CrowdStrike a déclenché l’une des plus grandes pannes informatiques de l’histoire, affectant plus de 8 millions d’appareils dépendant du logiciel Microsoft Windows.
Les experts en cybersécurité ont déclaré qu’il s’agissait d’un rappel douloureux de la nature systémique du risque cybernétique et qu’il montrait comment une mise à jour logicielle anodine pouvait causer autant de perturbations qu’une cyberattaque malveillante.
Aon, l’un des plus grands courtiers d’assurance au monde, a déclaré que l’incident était susceptible de devenir « l’événement de perte d’assurance cybernétique le plus important » depuis les attaques de malware NotPetya de 2017, et avait mis en évidence la « nature interconnectée des écosystèmes logiciels ».
Certains assureurs ont laissé entendre qu’il était trop tôt pour estimer les pertes d’assurance mondiales qui découleront à la fois des polices d’assurance cyber classiques – qui couvrent souvent les interruptions d’activité ou les pannes de système non malveillantes – et d’autres domaines, comme les réclamations en responsabilité civile. « Il semble inévitable qu’une série de réclamations se produise », a déclaré un cadre supérieur du secteur des assurances.
D’autres ont avancé des chiffres sur le coût probable pour les assureurs. Derek Kilmer, courtier en responsabilité civile professionnelle chez Burns & Wilcox, a déclaré qu’il s’attendait à une perte assurée de plus d’un milliard de dollars, et que ce montant « pourrait être bien plus élevé ». Will Davies, responsable des assurances chez PA Consulting, a estimé que les assureurs seraient confrontés à « des centaines, voire des milliers de réclamations dues à la panne », avec des estimations de réclamations s’élevant à des milliards.
1 milliard de dollarsLimite inférieure des pertes assurées en cas de panne informatique mondiale, estimée par le courtier d’assurance Burns & Wilcox
Kelly Butler, responsable de la cybersécurité au Royaume-Uni chez Marsh, le plus grand courtier d’assurance au monde, a prévenu qu’il était trop tôt pour quantifier une perte globale, mais a déclaré qu’environ 100 de ses clients mondiaux avaient informé leurs assureurs de réclamations potentielles. La plupart d’entre elles concernaient des interruptions d’activité ou des pannes de système, a-t-elle ajouté.
L’incident a montré qu’une panne de système de grande ampleur ne connaît « aucune frontière », a souligné Mme Butler. « Elle a des répercussions mondiales, immédiates et transversales. » Marsh a travaillé « de manière proactive » avec ses clients pour les aider à suivre les coûts liés à l’incident, a-t-elle déclaré.
Selon les experts, deux facteurs clés pourraient limiter les pertes. Tout d’abord, les contrats prévoient des délais d’attente avant que la couverture ne soit effective, généralement de 6 à 12 heures. Ainsi, une entreprise qui reprend ses activités pendant ce délai pourrait ne pas avoir droit à une réclamation, ou le montant pouvant être réclamé pourrait être considérablement inférieur. Ensuite, certaines polices offrent une couverture plus importante pour les cyberattaques que pour les pannes informatiques.
Malgré tout, Timothy Wirth, expert général en sinistres chez Sedgwick, un groupe de gestion des sinistres, a souligné l’éventail des secteurs qui subiront des pertes d’exploitation à la suite de l’incident. « Il existe également un risque de réclamations pour dommages matériels », a-t-il déclaré, « dans le cas où le matériel aurait été endommagé ou corrompu. »
Beazley, un des principaux assureurs cyber, a déclaré mardi dans un communiqué de presse que ses prévisions de bénéfices pour l’année ne seraient pas affectées par la panne mondiale « sur la base de ce que l’on sait à ce stade ». Le cours de son action a augmenté à la suite de cette mise à jour, mais reste inférieur à son niveau d’avant l’incident.
Les analystes de Jefferies ont affirmé que l’événement de la semaine dernière pourrait devenir un catalyseur positif pour l’entreprise – et le secteur au sens large – en servant de « preuve de concept » pour l’assurance cybernétique et en alimentant la demande.
Les prix de l’assurance cybernétique ont chuté au cours des derniers trimestres, après de fortes hausses au cours des deux années précédentes, alors qu’une vague d’attaques de ransomware a secoué le marché. Kelly de Marsh a déclaré que le marché s’est « stabilisé » en raison d’une récente augmentation de l’activité des réclamations, ajoutant : « Je soupçonne que cet incident ne fera que [add to that].”