Les cyber-risques sont des risques directement liés à l’apparition et surtout à la démocratisation de l’informatique et d’internet. Ils sont nouveaux d’abord parce qu’ils portent sur des techniques récentes : les systèmes d’information et les données numérisées. La nouveauté concerne aussi le fait générateur du sinistre : le piratage informatique ou encore les virus n’existaient pas avant l’avènement des nouvelles technologies. S’il est vrai que l’on peut de moins en moins parler de nouveauté s’agissant de matériels et de procédés informatiques qui font véritablement partie des moeurs aujourd’hui, les risques restent nouveaux au sens assurantiel.
En effet, dans le Traité de droit des assurances, M. Luc Mayaux, Professeur à l’Université Jean Moulin Lyon 3, précise bien qu’un risque nouveau n’est pas un risque inconnu : « l’ignorance que l’on peut en avoir est due à un manque de recul par rapport au passé plutôt qu’à un état actuel des sciences et des techniques »(138). Un risque nouveau est donc plutôt un risque mal connu, ce qui est bien le cas des cyber-risques.
Cette absence de recul constitue un premier obstacle à l’assurabilité des risques nouveaux. En effet, les assureurs s’appuient techniquement sur des données statistiques de plusieurs années leur permettant d’appréhender l’intensité et la fréquence d’un risque. La connaissance des sinistres passés permet l’application de la loi des grands nombres : plus il y a d’assurés, plus la probabilité que les sinistres à venir équivalent aux sinistres passés est élevée. Cette démarche n’est pas possible lorsqu’il n’y a quasiment aucune connaissance du passé. C’est le cas pour les cyber-risques, du moins en France. Aux Etats-Unis, ces risques sont assurés depuis plusieurs années et les assureurs américains ont certainement de ce fait plus de recul. Toutefois, le risque n’est pas le même qu’en Europe et en France, et les statistiques sinistres dont disposent les assureurs américains ne sont pas forcément transposables.
Un second obstacle à l’assurabilité des risques nouveaux « tient à la difficulté d’opérer une véritable mutualisation des risques »(139). En raison de l’apparition récente du risque, le nombre d’assurés potentiels est forcément limité.
Or, le mécanisme de l’assurance repose lui-même sur cette notion de mutualisation. Selon une définition technique, « l’opération d’assurance est l’opération par laquelle l’assureur organise en une mutualité une multitude d’assurés exposés à la réalisation de certains risques et indemnise ceux d’entre eux qui subissent un sinistre grâce à la masse commune des primes collectées »(140). S’il y a très peu d’assurés, la somme des primes collectées ne permettra pas la répartition de la charge sinistre.
Malgré ces difficultés, les cyber-risques, au même titre que d’autres risques nouveaux, sont pourtant assurés.
Précisons d’abord que les problématiques de mutualisation et l’absence de recul sur le risque touchent à l’opération d’assurance et non au contrat lui-même « dont la validité (qui est subordonnée à la seule présence d’un aléa) n’est pas remise en cause »(141).
En outre, la mutualisation imparfaite peut être atténuée par le recours à la réassurance qui constitue un niveau supérieur de mutualisation. Ensuite, le contrat d’assurance constitue un levier pour les assureurs qui vont palier leur méconnaissance des risques par des limitations contractuelles et des exclusions. Ils pourront également jouer sur les niveaux de primes et les franchises afin de se laisser une marge de sécurité jusqu’à ce que le contenu exact du risque soit bien connu. Enfin, la prévention tient une place particulièrement importante dans l’assurabilité.
Ces techniques se retrouvent dans l’approche des assureurs actuellement positionnés sur le marché des cyber-risques, nous le verrons.
Notons qu’un facteur important peut pousser les assureurs à se lancer dans une nouvelle brèche, il s’agit de l’état du marché. Il peut être intéressant en effet pour une compagnie de garantir seule et avant tout le monde certains risques, gagnant ainsi en notoriété. La démarche au départ incertaine pourra d’ailleurs s’avérer rentable à terme si le marché se confirme et que la concurrence suit, puisque la compagnie précurseur aura alors acquis une place prépondérante sur le risque en question du fait de son expérience.
S’agissant des cyber-risques, les précurseurs furent les assureurs américains, sur leur propre territoire d’abord et aujourd’hui en France.
138 MAYAUX (L.), Le risque assurable, Chapitre XI, Traité de droit des assurances, Tome 3, L.G.D.J., 2002, p 794
139 MAYAUX (L.), Le risque assurable, Chapitre XI, Traité de droit des assurances, Tome 3, L.G.D.J., 2002, p 795
140 PETAUTON (P.), L’opération d’assurance : définitions et principes, Encyclopédie de l’assurance, Economica, 1997, p. 427
141 MAYAUX Luc, Le risque assurable, Chapitre XI, Traité de droit des assurances, Tome 3, L.G.D.J., 2002, p 796
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance