L’ACPR appelle les assureurs à poursuivre leurs efforts pour clarifier la couverture du risque cyber dans les contrats

L'ACPR a réalisé une enquête auprès d'un échantillon d’organismes d'assurance sur leur gestion des garanties implicites couvrant le risque cyber. Elle fait suite à une première enquête sur l’assurance des risques cyber en 2018, qui avait mis en évidence l’existence de couvertures implicites. L’identification de ces garanties par les assureurs n’était pas systématique et l’incertitude sur l’existence et l’étendue de la couverture faisait courir un risque financier à la fois aux assureurs et aux assurés. 

Published on the 11th of March 2024

L’enquête menée en 2023 a mis en évidence que le mouvement d’identification et de clarification des contrats est bien avancé. Il implique la définition et la mise en œuvre d’une stratégie d’exposition au risque cyber, la réalisation de la cartographie des expositions implicites par famille de contrats, la mise en place de démarches de modification des contrats concernés.

La plus grande partie des incertitudes liées à ces couvertures semble en voie d’être maîtrisée, mais il s’agit d’un travail de long terme et les travaux de modifications des polices sont encore en cours. Ceux-ci conduisent dans la plupart des cas à expliciter la couverture effective du risque cyber ou son exclusion dans le contrat. Dans quelques cas, certains organismes font le choix de conserver une couverture implicite, lorsqu’elle leur semble représenter un risque limité et être exempte d’ambigüité.

Néanmoins, la nécessité de maîtriser l’exposition financière provenant des couvertures ainsi réexaminées demeure. Or certains organismes interrogés ne paraissent pas encore en mesure de quantifier exhaustivement le risque porté par les couvertures cyber des contrats qui ne sont pas entièrement dédiés à la couverture de ce risque.

Ces constats amènent l’ACPR à recommander :

  • aux assureurs qui ne l’auraient pas encore fait, l’identification de l’ensemble des couvertures cyber et, le cas échéant, la clarification des clauses contractuelles afin d’éliminer l’ambiguïté juridique ;
  • la vérification que le maintien de couvertures implicites représente un risque maîtrisé ;
  • l’évaluation financière exhaustive des risques portés, y compris en cas d’événement systémique, par l’ensemble des garanties cyber, qu’elles soient implicites ou explicites, accessoires ou principales, optionnelles ou non.

À propos de l’ACPR :

Adossée à la Banque de France, l’Autorité de contrôle prudentiel et de résolution (ACPR) est l’autorité administrative qui contrôle les secteurs de la banque et de l’assurance et veille à la stabilité financière. L’ACPR est également chargée de la protection de la clientèle des établissements contrôlés et assure la mission de lutte contre le blanchiment des capitaux et le financement du terrorisme. Elle est aussi dotée de pouvoirs de résolution. Les services opérationnels de l’ACPR sont regroupés au sein de son Secrétariat général. Visitez notre site https://acpr.banque-france.fr/

Télécharger le communiqué de presse

L’ACPR appelle les assureurs à poursuivr... (PDF - 403 Ko)

Updated on the 9th of January 2025