Les conclusions de l’ACPR sur les contrats d’assurance du risque cyber : des contrats peu développés et mal maitrisés par les entreprises….
3 janvier 2020.
Le 12 novembre 2019, l’ACPR a publié ses analyses du marché de l’assurance des risques cyber dans un court communiqué de presse.
Pour mémoire, l’autorité de contrôle prudentiel et de résolution (ACPR) a notamment pour mission de contrôler les secteurs de la banque et de l’assurance et de veiller à la stabilité financière.
En premier lieu, elle constate que ces contrats « dédiés au cyber risque sont pour le moment peu développés » malgré l’exposition croissante des entreprises et des particuliers à ce type de risque.
Les axes d’améliorations identifiés sont les suivants :
- « évaluer de façon exhaustive l’exposition du portefeuille au risque cyber, notamment en termes de garanties implicites ; (….)
- clarifier les définitions et la terminologie relatives aux risques, pour permettre une offre exempte d’ambiguïté vis-à-vis des preneurs d’assurance ;
- construire progressivement les bases statistiques qui permettront de mieux délimiter les garanties et de les tarifer de façon pertinente ;
- et enfin, sensibiliser et former les acteurs au risque cyber, tant du côté des assurés que des forces commerciales (articulation promotion / prévention). »
L’ACPR relève que les garanties proposées par les assurances couvrent une grande variété de risques avec entre autres « les pertes d’exploitation, la reprise d’activité suite à l’indisponibilité du système d’information, les conséquences d’actes de malveillance ou d’erreurs humaines, ou encore les conséquences pécuniaires des réclamations introduites par des tiers à l’encontre de l’assuré et mettant en jeu sa responsabilité ».
Toutefois, il est important de noter que ces garanties « s’accompagnent souvent d’une organisation spécifique et d’actions de sensibilisation et de prévention ».
En conclusion, l’ACPR précise qu’ « encore peu d’organismes disposent d’une cartographie exhaustive des contrats et portefeuilles concernés. Ils ne peuvent par conséquent pas évaluer correctement leur exposition au risque cyber ».
Marine Hardy, avocat responsable des pôles Innovations et Sécurité et Mathieu Vincens, juriste
Nous contacter
