Face à la montée en puissance de l’intelligence artificielle, le secteur de la cyberassurance révise ses contrats et introduit de nouvelles clauses spécifiques. Une mutation qui oblige les entreprises à repenser leur gouvernance des risques numériques.
L’utilisation croissante de l’intelligence artificielle, en particulier des grands modèles de langage (LLM), soulève de nouveaux risques pour les organisations. Selon Morey Haber, expert en cybersécurité chez BeyondTrust, ces risques concernent autant la désinformation, les biais algorithmiques, que les failles de sécurité ou l’empoisonnement des données. Le secteur de la cyberassurance, en réaction, ajuste désormais ses contrats en profondeur.
Les polices d’assurance évoluent pour intégrer des exclusions précises, notamment sur les pertes directement liées à une IA mal encadrée ou à des décisions discriminatoires. Les garanties sont également conditionnées à la mise en place d’un cadre de conformité adapté, en lien avec les réglementations européennes telles que le RGPD (Règlement général sur la protection des données) ou la future loi sur l’IA de l’Union européenne.
Des exigences accrues en matière de gouvernance et de conformité
Les assureurs imposent de plus en plus aux entreprises assurées de prouver l’existence d’une gouvernance robuste de leurs systèmes d’intelligence artificielle. Cela inclut des audits réguliers, des mécanismes de contrôle et une documentation complète des évaluations de risques. Le non-respect de ces conditions pourrait impacter l’éligibilité à la couverture ou à une indemnisation.
Ces nouvelles exigences sont particulièrement pertinentes dans les secteurs où l’innovation et les technologies embarquées sont au cœur de l’activité. Pour les professionnels de l’assurance, cette évolution implique de suivre attentivement les niveaux de conformité de leurs clients et de proposer des produits adaptés à ces nouvelles exigences réglementaires et techniques.
La gestion des incidents IA devient un champ assurantiel spécifique
Les compagnies d’assurance commencent également à introduire des clauses liées à la gestion d’incidents spécifiques à l’IA, comme le vol de modèles, les attaques adverses ou la récupération de données corrompues. Dans le cadre d’un usage croissant de services tiers, la question des responsabilités dans la chaîne d’approvisionnement IA devient centrale.
Les polices peuvent inclure des précisions concernant les vulnérabilités induites par des outils d’IA externes, tout en définissant les limites de couverture dans des scénarios complexes. Ces nouvelles dispositions visent à encadrer les risques systémiques liés à l’interdépendance technologique, une problématique de plus en plus présente dans les projets digitaux.
Des enjeux de propriété intellectuelle liés à l’IA générative
Autre axe structurant : la responsabilité liée à la création de contenus générés par l’IA. Les polices cyber commencent à encadrer les risques associés aux violations de droits d’auteur ou à l’utilisation de données protégées sans licence. Cela concerne aussi bien les entreprises utilisant des IA génératives pour produire du contenu que celles exposées à des risques de désinformation ou d’atteinte à la réputation.
Ce champ soulève de nombreuses interrogations pour les assureurs, tant en termes de patrimoine informationnel que de gestion de la e-réputation. Il s’agit d’anticiper les risques liés à des usages internes ou à des actions malveillantes de la part de tiers exploitant l’IA.
Vers une assurance IA-by-design
Pour obtenir ou conserver une couverture optimale, les entreprises doivent désormais intégrer la sécurité dès la conception de leurs projets IA. Cela implique des pratiques rigoureuses d’évaluation des risques, une veille réglementaire constante et une collaboration étroite avec leurs courtiers pour négocier des clauses contractuelles spécifiques.
Le message adressé par le secteur de la cyberassurance est clair : sans transparence, gouvernance et maîtrise des usages IA, la couverture ne peut être garantie. Cette évolution marque un tournant dans la façon dont les technologies émergentes sont prises en compte dans les modèles assurantiels, et appelle à un pilotage stratégique renforcé des risques numériques.
