Warren Buffett préoccupé par les « énormes pertes » sur le marché florissant de l’assurance
Un des messages que Warren Buffett et Ajit Jain, le principal responsable de l’assurance de Berkshire Hathaway, ont envoyé aux investisseurs lors de la récente assemblée annuelle des actionnaires de la société à Omaha était que l’assurance cyber, bien que actuellement rentable, comporte encore trop d’incertitudes et de risques pour que Berkshire, un acteur majeur du marché de l’assurance, soit pleinement à l’aise avec la souscription.
La cyberassurance est devenue "un produit très en vogue", a déclaré Jain lors de la réunion annuelle. Et c’est une source de profit pour les assureurs, du moins jusqu’à présent. Il a décrit la rentabilité actuelle comme "assez élevée" – au moins 20% de la prime totale revenant aux assureurs. Mais chez Berkshire, le message transmis aux agents est celui de la prudence. Une raison principale est la difficulté d’évaluer comment les pertes liées à un seul événement ne se transforment pas en une agrégation de pertes potentielles liées à la cyber. Jain a donné l’exemple hypothétique de lorsque la plateforme d’un important fournisseur de services de cloud "se retrouve à l’arrêt".
"Ce potentiel d’agrégation peut être énorme, et ne pas avoir de trou d’air sur le pire scénario est ce qui nous effraie", a-t-il déclaré.
"Il n’y a pas d’endroit où ce genre de dilemme se pose davantage que dans la cyber", a déclaré Buffett. "Vous pouvez obtenir une agrégation de risques que vous n’aviez jamais imaginée, et peut-être pire que certains séismes se produisant quelque part."
Berkshire est dans le secteur de l’assurance cyber
Les analystes du secteur disent généralement que, bien que certaines des réserves de Berkshire soient justifiées, l’état général du marché de l’assurance cybersécurité se stabilise alors qu’il devient rentable. Et Gerald Glombicki, directeur principal dans le groupe assurance des États-Unis de Fitch Rating, souligne que Berkshire Hathaway émet des politiques de cyber sécurité malgré la prudence de Buffett. Selon l’analyse de Fitch, Berkshire Hathaway est le sixième plus grand émetteur de ces politiques. Chubb, dans lequel Berkshire a récemment révélé un gros investissement, et AIG sont les plus importants.
"En ce moment, l’assurance cybersécurité est toujours un modèle d’entreprise viable pour de nombreux assureurs", a déclaré Glombicki. Il s’agit toujours d’un marché minuscule, représentant seulement un pour cent de toutes les polices émises, selon Glombicki. Comme le secteur de la cybersécurité est si petit, il donne aux compagnies d’assurance la possibilité de mettre en œuvre diverses politiques pour voir ce qui fonctionne, et ce qui ne fonctionne pas, sans trop d’exposition.
Berkshire, ainsi que Chubb et AIG, ont refusé de commenter.
"Il y a un élément d’imprévisibilité qui est très perturbant, et je comprends d’où [Buffett] vient, mais je pense qu’il est vraiment difficile d’éviter complètement les risques cyber", a déclaré Glombicki. Il a ajouté cependant qu’il n’y a toujours pas eu de litige significatif attribuant des responsabilités ou testant les limites des politiques, et tant que les tribunaux n’entendent pas certains cas de responsabilité, certains assureurs peuvent procéder avec plus de prudence.
"Pourrait ruiner la société" selon Buffett
Le problème d’écrire de nombreuses polices, même avec une limite de 1 million de dollars par police, est que si un "événement unique" affecte en fin de compte 1 000 polices. "Vous avez écrit quelque chose pour lequel nous ne sommes en aucun cas en train de fixer le prix correct, et cela pourrait ruiner la société", a déclaré Buffett.
Bien que certains leaders notables, comme l’ancien chef de la sécurité intérieure Michael Chertoff – qui dirige maintenant une entreprise mondiale de gestion des risques de sécurité – aient appelé à un filet de sécurité gouvernemental en matière de cybersécurité, la plupart des experts ne pensent pas qu’il soit nécessaire pour le moment. Glombicki dit que tandis que les autorités fédérales examinent le rôle qu’elles peuvent jouer, l’intervention ne se produira probablement qu’après un incident le déclenchant.
"Toute intervention gouvernementale se produira probablement après un cyber-incident important et coûteux", a-t-il dit. "Après le 11 septembre, le gouvernement a mis en place un programme assurantiel contre le risque terroriste. En matière de cyber, nous n’avons pas encore vu une attaque de cette ampleur. Nous sommes toujours en train de réfléchir à des approches possibles."
Les données sur l’assurance cyber montrent une croissance et une confiance du marché
Alors que le nombre de polices de cyber sécurité rédigées est actuellement faible, les analystes ne s’attendent pas à ce qu’il en reste ainsi.
"Les taux sont en baisse, ce qui montre la stabilité du marché", a déclaré Mark Friedlander, porte-parole de l’Institut de l’information sur l’assurance. Selon ses données, les primes de cyber sécurité sont estimées doubler au cours de la prochaine décennie. En 2022, les primes se sont élevées à 11,9 milliards de dollars. D’ici 2025, Friedlander indique qu’elles devraient doubler pour atteindre 22,5 milliards de dollars et augmenter à 33,3 milliards de dollars d’ici 2027.
"Il s’agit clairement de l’un des segments de l’assurance à la croissance la plus rapide. De plus en plus d’entreprises émettent des polices de cyber sécurité", a déclaré Friedlander, attribuant la confiance des assureurs à une tarification plus sophistiquée et à des taux stabilisés. Il a cité une baisse de 6% des taux d’assurance cyber au cours du premier trimestre de 2024, après une baisse de 3% en 2023, comme un signal clair selon lequel les assureurs se sentent plus confiants à s’engager dans ce domaine.
"La plupart des assurances commerciales, telles que l’automobile et la propriété, ont toutes augmenté, donc la baisse est significative. C’est un signe de stabilité et une réduction de la gravité des sinistres", a déclaré Friedlander.
Et de plus en plus d’assureurs entrent sur le marché car ils disposent des outils et des données nécessaires pour évaluer le risque. "Si vous pouvez le faire à des taux raisonnables, vous rédigerez cette couverture", a déclaré Friedlander.
‘Vous perdez de l’argent’
Buffett et son premier lieutenant en assurances ne sont pas d’accord. C’est le "coût des sinistres" d’assurance – ce que pourrait potentiellement coûter le coût des marchandises vendues – qui retient Berkshire de s’engager plus profondément dans l’assurance cyber. Jain a déclaré que les pertes ont été "assez bien contenues" jusqu’à présent – ne dépassant pas 40 cents sur le dollar de prime au cours des quatre à cinq dernières années – mais il a ajouté: "Il n’y a pas assez de données pour pouvoir affirmer ce que sont vos coûts de sinistres réels."
Jain a déclaré que dans la plupart des cas, les agents chez Berkshire sont découragés d’écrire des polices d’assurance cyber, sauf s’ils doivent le faire pour satisfaire des besoins spécifiques des clients. Et même s’ils le font, Jain leur laisse ce message: "Peu importe ce que vous facturez, vous devriez vous dire que chaque fois que vous écrivez une police d’assurance cyber, vous perdez de l’argent. Nous pouvons discuter sur la quantité d’argent que vous perdez, mais la mentalité devrait être que vous ne gagnez pas d’argent avec cela. … Et ensuite, nous devrions partir de là."
Google Cloud dit que les risques sont exagérés
Il y a une perception selon laquelle le risque cyber change rapidement et, par conséquent, trop imprévisible pour être souscrit de manière systématique, explique Monica Shokrai, responsable du risque commercial et de l’assurance chez Google Cloud. Mais elle a ajouté que la perception ne correspond pas à la réalité, et que le risque peut largement être maîtrisé.
"Nous n’avons pas le même point de vue que Warren Buffet sur le sujet", a-t-elle déclaré. Selon Google, la majorité des pertes cyber peuvent être évitées ou atténuées par une bonne hygiène informatique.
"En comprenant la sécurité, vous pouvez atteindre un niveau où vos contrôles sont bien meilleurs, où le risque est plus gérable", a déclaré Shokrai. Les attaques dévastatrices de la part d’États-nations, quant à elles, relèvent d’une catégorie distincte et ont été rares. Les assureurs se prémunissent déjà contre les risques potentiels en établissant des exclusions pour certains événements catastrophiques. De nombreuses polices de cyber sécurité comportent des exemptions de couverture pour les attaques d’États-nations.
"Ce qu’ils essayent de faire, c’est de rester résilients et solvables en cas d’événement généralisé; ce qu’ils ont fait pour gérer cela est d’introduire des exclusions", a déclaré Shokrai, et celles-ci incluent les infrastructures critiques, la cyber-guerre et d’autres événements perturbateurs généralisés.
Des ambiguïtés et des subjectivités subsistent. Que se passe-t-il si quelqu’un est victime d’une cyberattaque d’une bande basée à l’étranger qui n’est pas officiellement liée à un État-nation mais qui a peut-être reçu un soutien logistique accessoire? Une compagnie d’assurance peut-elle invoquer une exclusion liée à un État-nation? Shokrai dit que la catégorisation de l’attribution d’un événement est un sujet de beaucoup de débats entre les compagnies d’assurance. "C’est un grand débat entre les compagnies d’assurance ; c’est une distinction importante qui nécessite une clarification", a déclaré Shokrai.
Certains experts disent que c’est l’ambiguïté entourant les marges de l’industrie qui rend nerveux des investisseurs comme Buffet et des acteurs de l’assurance comme Berkshire. Mais jusqu’à présent, l’activité s’est révélée globalement saine. "C’est toujours un modèle d’entreprise viable pour de nombreux assureurs", a déclaré Josephine Wolff, professeure associée en politique de cybersécurité à la Fletcher School de l’Université de Tufts, qui étudie le marché en évolution depuis plusieurs années. Mais elle a ajouté qu’une croyance que l’activité est viable ne signifie pas que les choses ne changent pas constamment, pointant vers la récente vague de rançongiciels au cours des deux dernières années qui a vu de gros paiements d’assurance – bien que notablement pas suffisamment pour rendre l’activité non rentable pour la plupart des émetteurs.
L’assurance cyber contribue à rendre l’ensemble de l’écosystème plus sûr, selon Steve Griffin, co-fondateur de L3 Networks, un fournisseur de services gérés basé en Californie spécialisé en cybersécurité. Les polices exigent que les entreprises respectent certaines normes de cybersécurité pour obtenir une couverture, et plus les entreprises souscrivent une couverture, plus le système entier devient sûr. Et si une entreprise sait qu’elle se verra refuser une réclamation si elle n’a pas mis en place des sauvegardes de cybersécurité de base, cela constitue un incitatif à les mettre en place.
Berkshire pense que l’activité va se développer, mais n’est pas sûr à quel prix. "Je suppose qu’à un moment donné, cela pourrait devenir une énorme activité, mais cela pourrait être associé à d’énormes pertes", a déclaré Jain.
"Je vous dirai que la plupart des gens veulent entrer dans tout ce qui est à la mode lorsqu’ils écrivent des assurances. Et la cyber est un problème facile", a déclaré Buffett. "Vous pouvez écrire beaucoup de cela. Les agents l’aiment. Ils touchent des commissions sur chaque police qu’ils écrivent. … Je dirais que la nature humaine est telle que la plupart des compagnies d’assurance vont devenir très enthousiastes, et leurs agents vont devenir très enthousiastes, et c’est très à la mode et c’est assez intéressant, et comme Charlie [Munger] le dirait, cela pourrait être du poison pour les rats."
Bien que Griffin comprenne la prudence de Buffett, il constate un clivage générationnel sur les perspectives de risque, et se montre optimiste sur le secteur de l’assurance cyber.
"Probablement que Warren Buffet aurait qualifié l’assurance cyber de opportunité lorsqu’il était plus jeune", a-t-il déclaré.