L’autorité européenne des assurances (EIOPA) a publié une position sur laquelle l’autorité française de contrôle prudentiel et de résolution (ACPR) a récemment rebondi (voir communiqué en fin d’article). A cette occasion, les 2 autorités enjoignent les assureurs à prendre rapidement des mesures en matière de cybersécurité.
Ainsi, l’EIOPA souligne que les assureurs n’ont pas encore pris en compte toute l’étendue de leur couverture implicite du risque cyber. Autrement dit, alors que ce risque est de plus en plus prégnant, les assureurs n’ont pas conscience de l’étendue des couvertures du risque cyber qu’ils sont tenus de couvrir “malgré eux” du fait de la rédaction de leurs contrats en place. L’ACPR indique ainsi que “le manque apparent de préparation de certains organismes pourrait entraîner des pertes importantes et compromettre la stabilité financière globale du secteur“. Pour remédier à ce premier constat, l’autorité française encourage les assureurs à revoir l’ensemble de leurs garanties liées aux risques cyber afin de les clarifier et d’ôter toute ambiguïté aux polices d’assurance. L’ACPR demande également aux assurés et assureurs de réfléchir ensemble aux meilleurs moyens de prévention pour éviter la survenance du risque cyber.
L’ACPR met donc la pression sur tous les organismes d’assurance pour qu’ils évaluent leur exposition au risque cyber, incluant l’exposition à la couverture implicite du risque dans leurs contrats. L’autorité recommande à tout organisme d’intégrer au rapport ORSA l’évaluation de l’exposition du portefeuille d’assurance au risque cyber et d’inclure l’impact futur des risques cyber dans l’évaluation du besoin global de solvabilité. L’ACPR rappelle très directement que ces sujets font partie de ses priorités de contrôle et qu’elle surveille ce sujet de très près.