Risque Cyber en Assurance : DORA et la Double Exposition

Les compagnies d'assurance se trouvent dans une position singulière face au risque cyber. D'un côté, elles sont soumises au règlement DORA (EU) 2022/2554 comme entités financières et doivent renforcer leur propre résilience numérique. De l'autre, elles assurent le risque cyber de leurs clients entreprises, ce qui leur donne une perspective unique sur les menaces et les bonnes pratiques. Cette double position crée des synergies mais aussi des conflits d'intérêts potentiels.

La Double Exposition des Assureurs au Risque Cyber

Un grand assureur comme AXA, Allianz ou Generali gère simultanément deux portefeuilles de risque cyber. En tant qu'entité financière soumise à DORA, il doit gérer son propre risque TIC : protection de ses systèmes de gestion des polices, de ses bases de données clients, de ses systèmes actuariels. En tant qu'assureur cyber, il porte dans son bilan le risque de ses assurés entreprises : en cas de vague de cyberattaques simultanées, les sinistres peuvent être massifs et corrélés.

Risque d'Accumulation Cyber

DORA n'adresse pas directement le risque d'accumulation dans les portefeuilles d'assurance cyber. Mais la supervision sous Solvabilité II, renforcée par DORA, incite les assureurs à mieux modéliser ce risque. Un événement cyber systémique — comme une attaque massive sur une infrastructure critique partagée par de nombreuses entreprises — pourrait générer simultanément des sinistres chez l'assureur (son propre SI affecté) et dans son portefeuille (sinistres clients).

Opportunité : L'Expertise Cyber comme Avantage Compétitif

La conformité DORA oblige les assureurs à développer une expertise cyber interne approfondie. Cette expertise — dans les tests de pénétration, la détection d'incidents, la gestion des prestataires TIC — est précisément celle que recherchent leurs clients dans le cadre des produits d'assurance cyber. Les assureurs qui capitalisent sur leurs investissements DORA pour enrichir leur offre cyber B2B créent un avantage compétitif réel.

DORA et la Souscription des Risques Cyber

La conformité à DORA des entreprises assurées devient progressivement un critère de souscription pour les polices cyber. Les assureurs qui demandaient déjà aux souscripteurs de renseigner leur maturité cybersécurité (présence d'un RSSI, MFA déployé, sauvegardes testées) intègrent maintenant des questions DORA spécifiques pour les entités financières. La conformité DORA peut justifier des franchises réduites ou des primes préférentielles.

Résilience Interne des Assureurs sous DORA

Pour leur propre conformité DORA, les assureurs doivent être particulièrement vigilants sur leurs systèmes de liquidation de sinistres, qui doivent rester opérationnels même en cas de crise cyber. Un assureur qui subit une cyberattaque au moment d'une catastrophe naturelle génératrice de sinistres massifs (tempête, inondations) serait dans une situation catastrophique. DORA impose des plans de continuité couvrant ces scénarios combinés.

Conclusion

La double exposition des assureurs au risque cyber — comme entité soumise à DORA et comme porteur du risque cyber de leurs assurés — est une complexité unique à ce secteur. Elle impose une approche intégrée où l'expertise cyber développée pour la conformité DORA nourrit directement la qualité de la souscription et du pilotage des risques du portefeuille assurance cyber.