Le PDG d'un des principaux assureurs européens a prévenu que les cyberattaques, telles que les catastrophes naturelles, ne peuvent plus être assurées, au vu de l'augmentation incontrôlée des activités malveillantes des hackers.
Ces dernières années, les dirigeants de l'industrie de l'assurance ont tiré la sonnette d'alarme sur le fait que les risques systémiques, tels que les pandémies et le changement climatique, mettent à rude épreuve la capacité de l'industrie à fournir une couverture adéquate. Pour la deuxième année consécutive, les pertes dues aux catastrophes naturelles devraient dépasser 100 milliards de dollars.
Mario Gréco, directeur général de l'assurance Zurich, dit-il à al Financial Times que le risque à craindre le plus est celui de l'informatique : "Ce qui deviendra non assurable, ce seront les dommages causés par les cyberattaques.. Puis il souligne : «Et si quelqu'un prenait le contrôle de parties vitales de notre infrastructure, quelles en seraient les conséquences ? ».
Les attaques récentes qui ont perturbé les hôpitaux, bloqué les pipelines et ciblé les ministères ont alimenté l'inquiétude face à ce risque parmi les dirigeants de l'industrie. Selon Greco, se concentrer sur le risque pour la vie privée des individus, c'est perdre de vue la situation dans son ensemble. "Tout d'abord, il doit y avoir une perception qu'il ne s'agit pas seulement de données… Il s'agit de civilisation. Ces personnes peuvent sérieusement perturber nos vies ».
La montée en flèche des cyber-fuites a incité les souscripteurs à prendre des mesures d'urgence pour limiter l'exposition. En plus de faire grimper les prix, certains assureurs ont réagi à la menace en modifiant leurs polices pour maintenir les pertes aussi bas que possible. Il existe des exemptions écrites dans les politiques pour certains types d'attaques. Les cyber-experts ont toutefois averti que l'augmentation des prix des polices d'assurance avec toutes ces exceptions pourrait décourager l'achat de protections d'assurance à l'avenir.
En 2019, Zurich il a d'abord nié une Demande d'indemnisation de 100 millions de dollars par le groupe alimentaire Mondelēzrésultant de l'attentat NotPetya, au motif que la politique excluait la guerre. Les deux parties se sont alors mises d'accord.
En septembre, Lloyd's de Londres il a adopté une nouvelle ligne en exigeant que les polices d'assurance basées sur le marché incluent une exemption pour les attaques parrainées par l'État. Une démarche responsable mais difficile à mettre en œuvre car il est impossible d'identifier les responsables des attentats et leurs affiliations.
Greco a déclaré qu'il y avait donc une limite à ce que le secteur privé peut absorber, en termes de garantie de toutes les pertes dues aux cyberattaques. Il a donc invité les gouvernements à "mettre en place des dispositifs public-privé pour gérer les cyber-risques systémiques non quantifiables, similaires à ceux qui existent dans certaines juridictions pour les tremblements de terre ou les attentats terroristes ».
En septembre dernier, le gouvernement du États-Unis il a décidé d'envisager une réponse d'assurance fédérale contre les cyberattaques, qui pourrait faire partie ou en dehors du programme actuel d'assurance public-privé contre le terrorisme.
En juin, un rapport du Bureau de la responsabilité du gouvernement américain a mis en évidence le potentiel des cyberincidents à « se répercuter » sur d'autres activités connexes. Selon le rapport, des exemples tels que le piratage du Pipeline Colonial, qui a créé des pénuries temporaires d'essence dans le sud-est des États-Unis, ils montrent "la possibilité qu'un seul incident cybernétique puisse affecter des infrastructures critiques avec des conséquences catastrophiques".