Cyber : EIOPA et ACPR renchérissent sur les couvertures silencieuses

vendredi 23 septembre 2022

Dans le prolongement de la publication de l’EIOPA sur les garanties implicites contenues dans les contrats d’assurance cyber, l’ACPR a salué la position du superviseur européen et profité pour faire à son tour des recommandations en matière de couvertures silencieuses.

Dans une publication sur l’assurance cyber rendue ce jour par l’EIOPA, le superviseur européen de l’assurance a formulé plusieurs recommandations aux organismes de (ré)assurance, notamment sur leurs expositions potentielles via les garanties implicites de certains contrats.

« Des efforts particuliers doivent être faits pour déployer une méthode de quantification des risques afin d'évaluer les expositions potentielles dues aux garanties de cyberassurances non affirmatives. Cependant, compte tenu de la nature évolutive du risque cyber, le manque de données sur les attaques et les pertes, ainsi que les difficultés à évaluer l'exposition de l'assuré, l'utilisation de l'analyse de scénarios est également encouragée », explique l’EIOPA.

Le superviseur souhaite également que soient clarifiées les couvertures sur ce type de risques. « L’inclusion et l’exclusion des risques cyber dans les polices d'assurance doivent être clairement communiquées aux assurés, en évitant toute ambiguïté dans le libellé et la signification des produits », poursuit l’EIOPA.

L'ACPR en remet une couche

Dans le prolongement de la publication de l’EIOPA, saluée par l’ACPR, le gendarme français de l’assurance en a profité pour faire à son tour des recommandations en la matière.

Ainsi, l’autorité « incite les organismes d’assurance à examiner l’ensemble des garanties contenues dans leurs contrats par rapport aux risques cyber et, le cas échéant, à clarifier et à rendre plus explicites les formulations des termes et conditions des polices en ce qui concerne la couverture ou l'exclusion de ces risques, pour permettre une offre exempte d’ambiguïté vis-à-vis des preneurs d’assurance ».

Le gendarme précise ensuite qu’il est « crucial que les organismes soient en mesure d'identifier et d’évaluer rapidement et de façon exhaustive leur exposition au risque cyber, en particulier implicite, dans les contrats d’assurance ».

Dans la lignée de l’EIOPA, l’ACPR formule enfin deux recommandations particulières. La première concerne l’établissement de bases de données robustes pour évaluer l’exposition du portefeuille d’assurance au risque cyber (et l’intégrer au rapport Orsa). La seconde consiste à inclure l'impact futur des risques cyber dans le cadre de l'évaluation du besoin global de solvabilité, « y compris en anticipant les litiges éventuels concernant la couverture prévue dans les contrats », conclut le gendarme.