Les assureurs récompensent les organisations qui utilisent l’IA pour renforcer leurs défenses, tout en se montrant plus prudents à l’égard de celles dont l’utilisation de l’IA introduit de nouveaux risques.
En juillet 2025, McDonald’s a eu un problème inattendu au menu, impliquant McHire, sa plateforme basée sur l’IA utilisée pour recruter et sélectionner les candidats. Le système, développé par Paradox.ai, présentait une faille de sécurité de niveau débutant : le backend des restaurateurs acceptait « 123456 » à la fois comme nom d’utilisateur et mot de passe, et manquait d’authentification multifacteur. Les données personnelles d’environ 64 millions de candidats étaient ainsi menacées. Heureusement, la faille a été découverte par les chercheurs en sécurité Ian Carroll et Sam Curry, qui en ont informé l’entreprise.
Alors que les organisations se précipitent pour déployer des outils d’IA sans les auditer entièrement, de tels incidents ne sont pas rares. L’adoption de l’IA évolue plus rapidement que la sécurité et la gouvernance de l’IA, selon un rapport d’IBM. L’année dernière, 13 % des organisations ont signalé des violations impliquant des modèles ou des applications d’IA, tandis que 8 % ont déclaré qu’elles ne savaient même pas si ces systèmes avaient été compromis.
Et les assureurs le savent. Beaucoup ont resserré le langage politique, augmenté les primes et prévu des exclusions explicites pour certains incidents liés à l’IA, un effort visant à limiter l’exposition à des risques mal compris. Une enquête réalisée par Delinea a révélé que 42 % des personnes interrogées ont déclaré que leurs polices d’assurance cyber incluent désormais des exclusions liées à l’utilisation abusive de l’IA et à la responsabilité.
Pourtant, le tableau n’est pas entièrement unilatéral. Les assureurs récompensent également les défenses plus solides : 86 % des organisations déclarent avoir reçu des remises sur les primes ou des crédits pour l’utilisation d’outils de sécurité basés sur l’IA qui renforcent leur posture de sécurité.
« L’IA est à la fois un risque et une opportunité », déclare Nate Spurrier, vice-président de la stratégie d’assurance et de conseil chez GuidePoint Security.
Les cyber-assureurs changent leur façon d’évaluer le risque
Alors que l’IA est de plus en plus intégrée aux opérations commerciales – et de plus en plus exploitée par les attaquants – les cyber-assureurs repensent la façon dont ils évaluent les risques. Beaucoup vont désormais au-delà des questionnaires à cases à cocher et des auto-attestations, demandant des preuves que les contrôles de sécurité sont activement surveillés, testés et appliqués. Selon le rapport Delinea, 77 % des assureurs exigent désormais des examens formels par les équipes internes et de sécurité informatique avant d’émettre ou de renouveler une couverture, contre 56 % il y a un an.
Mais même ces critiques ne suffisent plus à elles seules. « Les principaux cyber-assureurs ont abandonné les formulaires de demande instantanés pour se tourner vers une évaluation continue de la surface d’attaque et des contrôles d’une organisation », explique Michael Phillips, responsable de la souscription mondiale du portefeuille cyber de Coalition.
En plus de la souscription et du règlement des sinistres, Coalition regroupe également des services de cybersécurité avec ses offres de cyberassurance. Les assurés ont accès à des outils qui surveillent en permanence les systèmes connectés à Internet à la recherche de vulnérabilités et d’alertes, ainsi qu’à des conseils d’experts et à des renseignements sur les menaces. L’idée est de réduire la fréquence et la gravité des sinistres, en liant directement la sécurité d’une entreprise à sa couverture d’assurance.
Et comme l’IA touche de nombreux aspects des opérations commerciales modernes, cette surveillance accrue s’étend désormais à la manière dont les entreprises utilisent et gèrent la technologie. « Les compagnies d’assurance veulent savoir comment les assurés et les candidats utilisent l’IA au sein de leur organisation : quels contrôles sont en place, comment l’IA est utilisée et pour quelles tâches spécifiques, qui est autorisé à l’utiliser et s’il s’agit simplement d’un outil d’efficacité ou d’un élément essentiel de la solution finale proposée aux clients », explique Spurrier.
Modifications de la couverture et de la langue
Maintenant que l’IA est omniprésente, les assureurs réécrivent leurs contrats pour être beaucoup plus précis sur ce qui est couvert et ce qui ne l’est pas. Certains ont introduit des avenants affirmatifs en matière d’IA, d’autres ont ajouté des exclusions, car les risques liés à l’IA peuvent être imprévisibles et potentiellement à grande échelle, et les assureurs ne veulent pas être responsables de pertes qu’ils ne peuvent pas évaluer avec précision.
Élaborer le langage politique approprié pour une technologie en évolution rapide est une tâche complexe. « À l’heure actuelle, les assureurs ne disposent pas de suffisamment de données sur les sinistres pour comprendre pleinement quel langage et quelles composantes du risque d’IA doivent être ciblés, c’est pourquoi certains assureurs utilisent de larges exclusions par prudence », explique Spurrier.
Pourtant, cette prudence peut être préjudiciable aux organisations. « L’IA est désormais un élément attendu d’une cyberattaque réussie, et il n’est pas toujours facile de discerner ce qui a été créé ou non par l’IA », explique Philips. « Si une police exclut toute perte liée à l’IA, un assureur pourrait faire valoir qu’une réclamation classique contre un ransomware est hors de portée simplement parce que l’IA a été utilisée dans le cadre du processus d’attaque. »
Le problème est aggravé par la manière dont les politiques ont évolué. Beaucoup ont été écrits avant que l’IA générative ne se généralise. Les assureurs ont ensuite ajouté un langage lié à l’IA, superposant de nouvelles conditions aux anciens contrats. Cette approche disparate peut créer de la confusion. « Si cette formulation n’est pas expliquée clairement, les assurés peuvent supposer qu’ils bénéficient de la même protection qu’auparavant, mais ce n’est pas le cas », déclare Philips.
Les entreprises et leurs courtiers doivent lire attentivement le texte politique et expliquer comment il fonctionnerait réellement dans la pratique. Cela signifie discuter de scénarios spécifiques liés à l’IA avec leurs courtiers avant le renouvellement et voir comment ils pourraient affecter différents types de couverture.
« Un scénario peut ne pas avoir d’impact sur certaines branches d’assurance et apparaître ensuite comme exclu dans une autre branche d’assurance », explique Spurrier. « Le moment de clarifier votre couverture AI n’est pas lors d’une réclamation, mais lors du renouvellement et d’autres scénarios précédant un incident. »
Réduire les coûts pour les entreprises
Certaines entreprises qui prouvent qu’elles disposent d’une bonne posture de sécurité peuvent réduire leurs coûts d’assurance. Pour ce faire, ils doivent démontrer qu’ils utilisent des outils basés sur l’IA pour détecter rapidement les anomalies ou réduire les temps de réponse de quelques heures à quelques minutes. « Pour les assureurs, cela signifie des sinistres moins importants et un recouvrement plus rapide », explique Spurrier.
Des réductions sont généralement proposées aux entreprises qui disposent d’une sécurité solide 24 heures sur 24. « Les solutions de détection telles que l’EDR (endpoint Detection and Response) sont désormais largement attendues par les compagnies d’assurance, et la prochaine étape consiste à surveiller en permanence les alertes générées afin que des mesures puissent être prises rapidement », ajoute Spurrier.
Dans un avenir proche, les défenses basées sur l’IA pourraient devenir obligatoires pour la couverture, tout comme le sont aujourd’hui les outils d’authentification multifacteur et de détection et de réponse des points finaux. Cela signifie que les entreprises qui sont à la traîne peuvent se retrouver désavantagées. « Si vous utilisez des outils existants, attendez-vous à des primes plus élevées ou à une couverture limitée », dit-il.
