Risques cyber : l’ACPR demande la clarification des garanties
L’ACPR, dans un communiqué du 23 septembre dernier, incite les organismes d’assurance à examiner l’ensemble des garanties contenues dans leurs contrats par rapport aux risques cyber et, le cas échéant, à clarifier et à rendre plus explicites les formulations des termes et conditions des polices en ce qui concerne la couverture ou l’exclusion de ces risques, pour permettre une offre exempte d’ambiguïté vis-à-vis des preneurs d’assurance. Elle invite ces derniers et leurs assureurs à examiner ensemble les mesures de prévention nécessaires pour limiter les dommages.
Cette demande intervient à la suite de la publication « Supervisory statement on the management of non-affirmative cyber exposures » de l’Eiopa (European Insurance and Occupational Pensions Authority) publiée le même jour. Cette dernière publication intervient à l’issue d’une consultation publique terminée en juillet 2022 qui faisait suite au constat selon lequel, en Europe, les organismes d’assurance ne mesurent pas encore suffisamment leur exposition au risque de couverture implicite du risque cyber, et ce dans un contexte où ce risque se révèle particulièrement élevé. Le manque apparent de préparation de certains organismes pourrait entraîner des pertes importantes et compromettre la stabilité financière globale du secteur.
Par ailleurs, l’ACPR estime crucial que les organismes soient en mesure d’identifier et d’évaluer rapidement et de façon exhaustive leur exposition au risque cyber, en particulier implicite, dans les contrats d’assurance. Ils sont donc vivement incités à mettre en œuvre des pratiques de souscription et de gestion appropriées afin de mesurer et rendre compte correctement des risques cyber auxquels ils sont exposés.
Dans la continuité de la publication de la position de l’EIOPA, l’ACPR rappelle également aux organismes les recommandations suivantes :
- établir une stratégie et bâtir des bases de données robustes afin d’évaluer de façon complète l’exposition du portefeuille d’assurance au risque cyber et intégrer cette évaluation au rapport ORSA quand cela est pertinent ;
- inclure l’impact futur des risques cyber dans le cadre de l’évaluation du besoin global de solvabilité, y compris en anticipant les litiges éventuels concernant la couverture prévue dans les contrats.
L’ACPR rappelle que, compte tenu de l’exposition croissante des entreprises et des particuliers au risque cyber, elle a depuis plusieurs années inscrit ce risque dans ses priorités de contrôle.
Sources :