Mise à jour trimestrielle sur la cyberassurance : mai 2023

Marsh a déclaré qu’une concurrence accrue, des contrôles de cybersécurité améliorés et une réduction des attaques de ransomwares en 2022 étaient des facteurs qui ont affecté la modération continue des prix, tout en notant qu’il y a eu une augmentation des incidents et des réclamations de ransomwares depuis le quatrième trimestre 2022.

Une récente communiqué de presse de Fitch Ratings a déclaré que la cyber-assurance est le segment de marché à la croissance la plus rapide dans le domaine de l’assurance IARD aux États-Unis, avec des taux qui devraient encore s’aplatir, à moins de nombreux incidents avec une gravité des pertes élevée ou un événement catastrophique. La couverture autonome représente 70 % des primes de cyber-assurance, avec une demande accrue de protection des titulaires de polices et des efforts des assureurs pour réduire l’ambiguïté des termes de couverture à l’origine de cette statistique. En outre, le rapport a montré que les augmentations des taux de prime de cyber-renouvellement ralentissent, avec des augmentations de taux de 15 % au quatrième trimestre 2022, en baisse significative par rapport à une augmentation record de 34 % au quatrième trimestre 2021.

Souscription : les assureurs peuvent orienter les décisions d’achat

Les assureurs ont récemment été resserrement des normes de souscription pour les assurés en raison d’un nombre croissant de réclamations sur les polices cyber. Selon Tom Srail, un cyber-expert du courtier Willis Towers Watson qui s’est entretenu avec le journaliste de – Pro Cybersecurity James Rundle, les assureurs souhaitent connaître les forces et les faiblesses spécifiques des défenses de cybersécurité d’un client. Il a en outre expliqué que comprendre le cyber-risque en le quantifiant peut également être bénéfique pour les clients en les aidant à déterminer comment ils doivent souscrire une cyber-assurance, à la lumière des fortes augmentations de primes et des limites plus strictes sur ce que les assureurs couvriront. Selon Srail, “être en mesure d’armer nos clients avec des données et des informations est une chose importante et puissante pour montrer que vous devez acheter plus d’assurance, que vous achetez le mauvais type d’assurance ou que vous n’avez même pas besoin d’assurance à tous.”

Responsabilité à long terme des réclamations

La possibilité que des réclamations liées à des cyberincidents persister pendant des années après la résolution initiale d’un piratage, connu sous le nom de responsabilité à long terme, inquiète les assureurs. Les règlements financiers avec les régulateurs et les clients concernés peuvent parfois atteindre des millions de dollars et prendre plusieurs années à être résolus. Par exemple, les réclamations suite à la violation de 2013 chez le détaillant Target, qui a entraîné le vol des données d’environ 40 millions de clients, se sont poursuivies pendant plusieurs années et l’entreprise recevait toujours des paiements d’assurance en 2019.

De plus, l’effet de l’inflation sur les coûts des sinistres a été une considération pour les assureurs et leur relation avec les clients, car les valeurs assurées au renouvellement augmenté de 9 % en moyenne aux États-Unis au cours du trimestre. L’augmentation du coût des produits et services pour récupérer d’un incident peut parfois dépasser les coûts estimés par l’assureur lors de la négociation de la police la plus récente.

Pendant ce temps, Corvus Insurance signalé une réduction de 52 % des demandes de ransomware par ses assurés en 2022 et une baisse de 62 % entre le premier trimestre 2021 et le quatrième trimestre 2022. Corvus a également constaté une réduction de 45 % du nombre total de victimes dont les informations ont été publiées sur le dark web, passant à 1 112 de 1 607.

La décision de poursuite signifie plus de clarté sur les exclusions

Une cour d’appel du New Jersey le 1er mai a confirmé une décision antérieure que les assureurs ne devraient pas utiliser la clause d’exclusion « action hostile/guerrière » pour refuser la couverture de Merck parce que la société pharmaceutique est une société non militaire. La Cour supérieure du New Jersey avait accordé à Merck un paiement de 1,4 milliard de dollars en février après que la société ait poursuivi ses assureurs pour avoir refusé de couvrir les dommages résultant de l’incident NotPetya de 2017, qui était lié à une attaque russe contre l’Ukraine. La décision pourrait créer un précédent sur la manière dont la cyberassurance sera gérée à l’avenir, la cybersécurité exclusions plus clairement définies.

Des normes de souscription de plus en plus strictes signifient que l’examen de la posture de sécurité d’une entreprise prolonge le temps nécessaire pour renouveler les polices ou en établir de nouvelles. Un tel retard a entraîné une procès déposé devant un tribunal fédéral le 28 avril par Raleigh Radiology Associates contre son courtier en cyber-assurance, l’unité des services de gestion des risques du spécialiste de l’assurance Arthur J. Gallagher, comme signalé par – Pro Cybersécurité.

La poursuite affirme que le demandeur n’a pas été informé par le courtier que sa police existante était devenue caduque le 15 février 2021, deux jours avant que Raleigh Radiology ne soit victime d’une cyberattaque. Le procès indique que Raleigh Radiology a déclaré que Gallagher ne pourrait alors offrir à la société qu’une police de 50 000 $, ce qui ne couvrirait pas les 330 000 $ de frais de récupération et une perte commerciale estimée à 685 000 $ de revenus nets pendant que ses systèmes étaient en panne. Gallagher a refusé de commenter.

Ne négligez pas la responsabilité en matière de confidentialité

Judith Selby, associée du bureau new-yorkais de Kennedys Law, a déclaré à – Pro Research que les entreprises ont tendance à se concentrer exclusivement sur les problèmes de cybersécurité lorsqu’elles envisagent une cyber-assurance, mais que la responsabilité en matière de confidentialité devrait également être un sujet de préoccupation majeur. Elle a déclaré qu’au cours de l’année écoulée, de nombreux recours collectifs alléguant un suivi et un partage inappropriés des données des utilisateurs de sites Web ont été déposés contre des centaines d’entreprises dans des secteurs aussi disparates que organismes de santé et fournisseurs de contenu vidéotout en notant que « la responsabilité en vertu de nombreuses lois sur la protection de la vie privée ne nécessite pas une violation de données ou un événement de cybersécurité.

“Certaines lois et réglementations autorisent des poursuites contre les consommateurs, parfois avec des dommages-intérêts légaux, tandis que d’autres autorisent des mesures d’exécution du gouvernement avec des amendes et des pénalités potentiellement importantes”, a déclaré Selby.

Elle a ajouté que “nous en sommes aux tout premiers jours en ce qui concerne les déterminations quant à la responsabilité réelle, mais les recours collectifs peuvent être très coûteux à défendre et des centaines de réclamations ont été déposées dans le cadre de polices d’assurance cyber”.

La croissance du marché

Un rapport de l’assureur Munich Re prédit le marché mondial de la cyberassurance va croître à 22,5 milliards de dollars en 2025 contre 11,9 milliards de dollars en 2022 et atteindre 33,3 milliards de dollars en 2027.

– Pro Research est un abonnement premium qui soutient la prise de décision des dirigeants sur des problèmes commerciaux critiques en complétant les actualités par des recherches et des données opportunes et approfondies.

Tous les rapports de recherche, webinaires, événements et données de – Pro Cybersecurity sont disponibles sur -.com/pro/cybersecurity/research

Rencontrez l’auteur