Les risques liés au cyber figurent plus que jamais dans le top 3 des préoccupations des risk managers. Pour les entreprises, prendre conscience, gérer et réduire leurs expositions doivent être les axes majeurs de leur programme de gestion de risques. Et si la bonne réponse pour appréhender le risque cyber venait des captives ? Steven Bauman, Responsable programmes internationaux & captives, Amérique du Nord, nous donne quelques éléments de réponse.
Pourquoi les risk managers commencent-ils à se doter ou envisager de couvrir leurs risques cyber via une captive ?
Si le recours à une captive pour assurer des risques stables a déjà largement fait ses preuves, on remarque toutefois ces dernières années une hausse de leur mise en place pour couvrir des risques plus volatiles et/ou émergents, dont le cyber.
L’un des nombreux avantages de captiver un risque cyber est de permettre le financement à moindre coût de ce risque. La probabilité pour une entreprise d’être victime d’une cyber attaque étant élevée, il est plus que judicieux d’avoir de la trésorerie pour en couvrir les frais. La captive offre donc une alternative flexible, adaptable et ayant un impact limité en termes de fonds propres,
La captive est en outre est un excellent outil de monitoring et de gestion des risques. En se dotant d’un mécanisme lui permettant de collecter plus d’informations sur ses risques, le risk manager maîtrise mieux sa prévention. Ces données peuvent alors être utilisées pour améliorer les efforts de gestion du risque de l’entreprise en mettant en exergue les vulnérabilités liées, par exemple, aux systèmes de protection des données.
Par ailleurs, cette approche permet également au risk manager de suivre les coûts globaux, directs et indirects, engendrés par des cyber attaques sur l'entreprise.
Gérer ses risques grâce à une captive permet au risk manager d’avoir une cartographie des risques de l’entreprise à l’échelle mondiale.
Concrètement, en quoi cela contribue-t-il à mieux gérer le risque cyber ?
Gérer ses risques grâce à une captive permet au risk manager d’avoir une cartographie des risques de l’entreprise à l’échelle mondiale. En disposant de meilleures données et en évaluant au plus juste les enjeux de la cyber menace, le risk manager peut aligner sa gestion des risques cyber sur le profil de l’entreprise et son appétit aux risques.
Cela peut également aider la captive et son assureur fronteur à affiner les termes, les conditions et les limites liées à la couverture de ces risques.
Enfin, en ayant une vision centralisée de ses vulnérabilités, le risk manager bénéficie d’un levier pour déterminer et mettre en place des axes d’amélioration. L’objectif ? Prévenir et/ou limiter la probabilité d’une attaque mais aussi réagir rapidement et efficacement en cas d’événement.
En quoi le fait de recourir à une captive pour couvrir ses risques cyber permet-il aux risks managers de bénéficier de l’effet de diversification ?
C’est un fait, les captives cherchent aujourd’hui à mettre en place des stratégies de diversification des risques. Le Cyber étant très souvent décorrélé des autres risques souscrits par la captive, cela rend ce choix très judicieux.
Les experts sont unanimes, il ne s’agit plus de savoir si une attaque cyber va se produire mais bel et bien quand elle frappera l’entreprise ! D’où l’intérêt d’ajouter du risque Cyber dans la captive afin de lui permettre d’augmenter le budget prime de cette dernière… car les pertes non couvertes par la captive ou par des polices d’assurance « traditionnelle » seront directement portées au bilan de l’entreprise. Très clairement, élargir les souscriptions de la captive et inclure du risque Cyber permettent au groupe et à ses filiales de mieux se préparer aux coûts d’un tel d’événement.
D’autre part, de nombreuses captives ont maintenant atteint un certain niveau de maturité. Elles ont fait leurs preuves et gagné la confiance de leur holding au fil du temps. Le fait de disposer d'un certain niveau de capital, voire d’un excédent de capital, peut leur permettre de souscrire plus de risques.
Que doivent prendre en compte les risk managers qui souhaitent commencer à souscrire du Cyber dans la captive ?
Les risk managers doivent s’assurer de rester informés de tout changement règlementaire – local et mondial – qui pourrait avoir une incidence sur les garanties Cyber et échanger avec les autorités de contrôle du domicile de la captive. En construisant un programme avec ses assureurs et réassureurs, l’entreprise partage avec la captive les risques et les résultats du programme. Cela permet de construire de meilleurs partenariats à long terme.
Il est également important de travailler en collaboration avec les partenaires de la captive, afin de tirer parti de leur expertise pour structurer l’implication de la captive. Un programme de rétrocession multilignes peut protéger les résultats de la captive de sinistres majeurs.
