Assurance risque cyber : l’ACPR salue la publication de la position de l’EIOPA

Patrimoine - Cette semaine, l’ACPR salue la publication de la position de l’EIOPA sur les garanties implicites contenues dans les contrats en matière de couverture du risque cyber.

L’Autorité européenne des assurances et des pensions professionnelles (AEAPP ou EIOPA, « European Insurance and Occupational Pensions Authority ») publie ce vendredi 23 septembre un Supervisory Statement on management of non-affirmative cyber underwriting exposures. L’Autorité de contrôle prudentiel et de résolution (ACPR) se félicite de cette publication, qui intervient à l’issue d’une consultation publique terminée en juillet 2022.

Cette dernière faisait suite au constat selon lequel, en Europe, les organismes d’assurance ne mesurent pas encore suffisamment leur exposition au risque de couverture implicite du risque cyber, et ce dans un contexte où ce risque se révèle particulièrement élevé. Le manque apparent de préparation de certains organismes pourrait entraîner des pertes importantes et compromettre la stabilité financière globale du secteur.

L’exposition au risque cyber

L’ACPR incite les organismes d’assurance à examiner l’ensemble des garanties contenues dans leurs contrats par rapport aux risques cyber. Le cas échéant, elle leur suggère clarifier et à rendre plus explicites les formulations des termes et conditions des polices en ce qui concerne la couverture ou l’exclusion de ces risques, pour permettre une offre exempte d’ambiguïté vis-à-vis des preneurs d’assurance. Elle invite ces derniers et leurs assureurs à examiner ensemble les mesures de prévention nécessaires pour limiter  les dommages.

Par ailleurs, l’ACPR estime crucial que les organismes soient en mesure d’identifier et d’évaluer rapidement et de façon exhaustive leur exposition au risque cyber, en particulier implicite, dans les contrats d’assurance. Ils sont donc vivement incités à mettre en œuvre des pratiques de souscription et de gestion appropriées afin de mesurer et rendre compte correctement des risques cyber auxquels ils sont exposés. 

Quelques recommandations

Dans la continuité de la publication de la position de l’EIOPA, l’ACPR rappelle également aux organismes les recommandations suivantes :

  • établir une stratégie et bâtir des bases de données robustes afin d’évaluer de façon complète l’exposition du portefeuille d’assurance au risque cyber et intégrer cette évaluation au rapport ORSA quand cela est pertinent ;
  • inclure l’impact futur des risques cyber dans le cadre de l’évaluation du besoin global de solvabilité, y compris en anticipant les litiges éventuels concernant la couverture prévue dans les contrats.

L’ACPR rappelle que, compte tenu de l’exposition croissante des entreprises et des particuliers au risque cyber, elle a depuis plusieurs années inscrit ce risque dans ses priorités de contrôle.

La Rédaction - Le Courrier Financier

L'équipe des rédacteurs du Courrier Financier

Voir tous les articles de La Rédaction