Cyber : et si les risk managers se passaient des assureurs ?

Cyber : et si les risk managers se passaient des assureurs ?
Oliver Wild, président de l'Amrae

Face au retrait de plus en plus marqué des assureurs sur les couvertures cyber des entreprises, le président de l’Association des risk managers français (Amrae) s'inquiète de cette dérive. Les risk managers explorent des alternatives avec les assureurs... ou sans eux.

« Aucun État ne pourra plus porter seul les prochaines crises systémiques. Prenons par exemple la pandémie cyber, 5e place dans le rapport Davos. Anticipons, pour que sur notre court horizon, il ne puisse être dit : on vous avait prévenu », a déclaré Oliver Wild, président de l’Amrae lors du discours d’ouverture des 29es Rencontres des risk managers, le mercredi 2 février à Deauville. Le ton est donné L’assurabilité du cyber mais surtout l’absence des assureurs sur ce risque ont alimenté nombre de conversations dans les travées du salon à Deauville.

A titre d’exemple : lors des renouvellements du 1er janvier 2022, Generali France a généralisé sa politique d’exclusion des garanties paiement des rançons cyber, jusque-là circonscrites aux offres PME/TPE, à ses activités grands comptes y compris en coassurance et sur les deuxième et troisième lignes. La demande en cyber est aujourd’hui largement supérieure à la demande. La situation est telle que lors des derniers renouvellements certaines entreprises n’ont tout simplement pas trouvé les capacités qu’elles recherchaient pour leur programme cyber. Dans ce contexte, les assureurs peuvent désormais imposer leurs conditions peu importe leur ligne d’intervention.  Ainsi depuis « le 1er janvier sur les Grands Risques, [Generali] jusque-là généralement suiveurs (co-assureur ou en seconde ligne), […] excluent les garanties sur les rançons », confirme l’assureur.

Generali ne paiera plus les rançons

En avril dernier, Generali France annonçait refuser le paiement des rançons lors de cyberattaques dont seraient victimes ses clients. Cette politique s’appliquait alors aux PME et TPE, mais pas aux grands comptes, notamment pour les contrats en coassurance. Depuis le 1er janvier, Generali a étendu ce refus systématique de payer les rançons cyber. Lorsque le risque est partagé entre plusieurs assureurs, l’assureur apériteur, c’est-à-dire celui qui porte la plus grande part du risque, fixe ses conditions. Les assureurs intervenant en deuxième et troisième lignes s’alignent alors sur les pratiques de l’apériteur. Generali France suivait donc généralement les conditions fixées par l’assureur principal et garantissait le paiement des rançons. Mais la baisse de capacités en cyber est telle que les assureurs peuvent désormais se permettre de revoir et durcir leurs conditions, quel que soit leur niveau d’intervention.

Les risk managers élaborent leur plan d'action

Las, les risk managers avaient laissé entendre début janvier par la voix de leur président qu'ils pourraient s'emparer du sujet. C'est désormais chose faite.

Lors de son discours d'ouverture, Oliver Wild a adressé un message clair aux assureurs : « Pour être utiles, Il faut arrêter de vider la mer avec des seaux, et conjuguer la prévention des risques au temps présent. Dans les semaines qui viennent, d’autres initiatives innovantes seront dévoilées. Un indice ? La nature ayant horreur du vide, les risk managers s’organisent. Ils collaborent pour développer les outils indispensables à nos organisations. Et c’est un élan tangible qui s’annonce.»

Créer une mutuelle ou une caisse de secours

Les risk managers sont en train de plancher sur leurs propres "solutions" cyber pour faire face au manque d'appétit des porteurs de risques.Si le projet n’en est encore qu’à ses débuts, plusieurs pistes sont étudiées notamment celle de la création d'une "mutuelle" avec une domiciliation européenne. L'initiative n'est pas nouvelle. Dans les années 70, les compagnies pétrolières se heurtaient à des difficultés de s'assurer contre les risques de pollution suite à des éruptions de puits offshore. Une vingtaine d'entre elles avaient alors décidé de créer ensemble une mutuelle d'assurance baptisée OIL pour (Oil Insurance Limited). Un demi-siècle plus tard, l'idée refait surface. « Se mettre en mutuelle, pourquoi pas, c'est beau sur le papier. Mais les dirigeants du CAC 40 sont encore assez peu ouverts à l'idée d'une gouvernance mutualistes », confie ce risk manager d'une entreprise cotée.

Autre possibilité envisagée : la création d’un pool d’acheteurs qui mutualiseraient l’achat de capacité et qui agirait comme une sorte de centrale d'achat. Une option balayée par ce courtier grands risques : « Acheter très bien mais auprès de qui ? Le problème du cyber, ce n'est pas de chercher à regrouper les acheteurs mais plutôt les vendeurs ! Or, les assureurs ne veulent pas ajouter des capitaux à un risque aussi volatil que le cyber ».

Une troisième voie consisterait à la mise en place d’une sorte de groupement d'intérêt économique (GIE) permettant aux différentes entreprises d'apporter elles-mêmes leurs propres capitaux en les mutualisant à la manière d'une caisse de secours en cas d'attaques.

>> À lire : Renouvellements 2022, les pratiques à risques sur le risque d'entreprises

Accueil sceptique des assureurs et courtiers

Officiellement, assureurs et courtiers refusent de se prononcer sur cette initiative, mais dans les travées des Rencontres le projet agace autant qu'il fait sourire. Tous attendent de voir les « solutions concrètes » qui seront réellement mises sur la table par les risk managers. « Il est permis de rêver mais je ne crois absolument pas à ces pistes qui ont déjà été explorées par le passé par l'Amrae sur des risques industriels notamment et qui n'ont jamais rien donné », ironise ce courtier.

Pour cet autre courtier, « lorsque ce ne sont pas les assureurs qui veulent nous apprendre notre métier, ce sont les risk managers. Lorsque le marché ne trouve pas de solution à un risque, c'est à l'Etat d'entrer dans le jeu comme sur le régime cat' nat' ou Gareat pour le terrorisme ».

Abonnés

Base des organismes d'assurance

Retrouvez les informations complètes, les risques couverts et les dirigeants de plus de 850 organismes d'assurance

Je consulte la base

Le Magazine

ÉDITION DU 23 septembre 2022

ÉDITION DU 23 septembre 2022 Je consulte

Emploi

La Mutuelle Générale

CHARGE(E) DE RECRUTEMENT - F/H - STAGE

Postuler

Relais Assur

Conseiller Commercial en Assurance H/F

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

MARCHE D'ASSURANCE FLOTTE AUTOMOBILE.

Ville du Luc en Provence

24 septembre

83 - LE LUC

Proposé par   Marchés Online

Commentaires

Cyber : et si les risk managers se passaient des assureurs ?

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié