En juillet 2025, McDonald's a été confronté à un problème inattendu concernant McHire, sa plateforme alimentée par l'IA utilisée pour recruter et sélectionner les candidats à un emploi. Le système, développé par Paradox.ai, présentait une faille de sécurité digne d'un débutant : le back-end destiné aux exploitants de restaurants acceptait « 123456 » comme nom d'utilisateur et mot de passe, et ne disposait pas d'authentification à plusieurs facteurs, exposant les données personnelles d'environ 64 millions de candidats. Heureusement, la faille a été découverte par les chercheurs en sécurité Ian Carroll et Sam Curry, qui ont averti l'entreprise. Les incidents de ce type ne sont pas rares, car trop d’entreprises se précipitent pour déployer des outils d'IA sans les auditer complètement. Selon un rapport d'IBM, l'adoption de l'IA progresse plus rapidement que la sécurité et la gouvernance de l'IA. L'an dernier, 13% des entreprises ont signalé des violations impliquant des modèles ou des applications IA, tandis que 8% ont déclaré ne même pas savoir si ces systèmes avaient été compromis.
Et les assureurs le savent. Beaucoup ont renforcé les termes de leurs polices, augmenté les primes et prévu des exclusions explicites pour certains incidents liés à l'IA, dans le but de limiter leur exposition à des risques mal compris. Dans une enquête réalisée par le spécialiste du PAM, Delinea (auprès de 750 RSSI), 42% des sondés ont signalé que leurs polices de cyber-assurance comprenaient désormais des exclusions liées à l'utilisation abusive et à la responsabilité civile en matière d'IA. Mais le tableau n'est pas totalement noir. Les assureurs récompensent également les défenses plus robustes : 86 % des entreprises déclarent avoir bénéficié de réductions ou de crédits sur leurs primes pour avoir utilisé des outils de sécurité basés sur l'IA qui renforcent leur posture de sécurité. « L'IA est à la fois un risque et une opportunité », a souligné Nate Spurrier, vice-président de la stratégie en matière d'assurance et de conseil chez GuidePoint Security.
Des changements dans l’évaluation des risques
Alors que l'IA s'intègre de plus en plus dans les métiers et qu'elle est de plus en plus exploitée par les pirates, les cyber-assureurs repensent leur manière d'évaluer les risques. Beaucoup vont désormais au-delà des questionnaires à cocher et des auto-attestations, et demandent des preuves que les contrôles de sécurité sont activement surveillés, testés et appliqués. Selon le rapport Delinea, 77% des assureurs exigent dorénavant des examens formels par des équipes de sécurité internes et IT avant d'émettre ou de renouveler une couverture, contre 56% il y a un an. Mais même ces évaluations ne suffisent plus à elles seules. « Les principaux cyber-assureurs ont abandonné les formulaires de demande ponctuels au profit d'une évaluation continue de la surface d'attaque et des contrôles d'une entreprise », a expliqué Michael Phillips, responsable mondial de l’activité cybersécurité chez Coalition.
Outre la souscription et le règlement des sinistres, Coalition propose également des services de cybersécurité dans le cadre de ses offres de cyber-assurance. Les entreprises ont ainsi accès à des outils qui surveillent en permanence les systèmes connectés à Internet à la recherche de vulnérabilités et d'alertes, ainsi qu'à des conseils d'experts et à des informations sur les menaces. L'idée est de réduire la fréquence et la gravité des sinistres en liant directement la posture de sécurité d'une entreprise à sa couverture d'assurance. Et comme l'IA touche de nombreux aspects des opérations métiers modernes, cette surveillance accrue s'étend désormais à la manière dont les entreprises utilisent et gèrent cette technologie. « Les assureurs veulent savoir comment les assurés et les demandeurs utilisent l'IA au sein de leur entreprise : quels contrôles sont en place, comment elle est utilisée et pour quelles tâches spécifiques, qui est autorisé à l'utiliser, et s'il s'agit simplement d'un outil d'efficacité ou d'un élément central de la solution finale proposée aux clients », a ajouté Nate Spurrier.
Modifications de la couverture et du libellé
Maintenant que l'IA est omniprésente, les assureurs réécrivent leurs contrats afin d'être beaucoup plus précis sur ce qui est couvert et ce qui ne l'est pas. Certains ont introduit des avenants positifs relatifs à l'IA, d'autres ont introduit des exclusions, car les risques liés à l'IA peuvent être imprévisibles et potentiellement importants, et les assureurs ne veulent pas être tenus responsables de pertes qu'ils ne peuvent pas évaluer avec précision. Rédiger les termes appropriés d'une police d'assurance pour une technologie en rapide évolution est une tâche complexe. « À l'heure actuelle, les assureurs ne disposent pas de suffisamment de données sur les sinistres pour comprendre pleinement quels termes et quels éléments du risque lié à l'IA doivent être ciblés, de sorte que certains ont recours à des exclusions générales par mesure de prudence », a déclaré M. Spurrier.
Pourtant, cette prudence peut être préjudiciable aux entreprises. « L'IA est désormais un élément incontournable d'une cyberattaque réussie, et il n'est pas toujours facile de discerner ce qui a été créé avec elle ou non », a fait remarquer Michael Philips. « Si une police exclut toute perte liée à l'IA, un assureur pourrait faire valoir qu'une demande d'indemnisation classique liée à un ransomware n'est pas couverte simplement parce que l'IA a été utilisée dans le cadre du processus d'attaque. » Le problème est aggravé par l'évolution des polices. Beaucoup ont été rédigées avant que l'IA générative ne se généralise. Les assureurs ont ensuite ajouté des clauses relatives à l'IA, en introduisant des conditions supplémentaires aux anciens contrats. Cette approche disparate peut créer une certaine confusion. « Si cette formulation n'est pas expliquée clairement, les assurés peuvent supposer qu'ils bénéficient de la même protection qu'auparavant, mais ce n'est pas le cas », a alerté le responsable de Coalition.
Les entreprises et leurs courtiers doivent lire attentivement les clauses des polices d'assurance et discuter de leur fonctionnement concret. Cela implique d'évoquer avec eux des scénarios spécifiques liés à l'IA avant le renouvellement et d'examiner leur incidence potentielle sur différents types de couverture. « Un scénario peut ne pas avoir d'incidence sur certaines branches d'assurance, mais être exclu dans une autre », a fait remarquer M. Spurrier. « Le moment opportun pour clarifier sa couverture IA n'est pas lors d'un sinistre, mais au moment du renouvellement et d'autres scénarios pré-incident. »
Des coûts réduits possibles pour les entreprises
Certaines entreprises qui prouvent qu'elles ont une bonne posture de sécurité peuvent réduire leurs coûts d'assurance. Pour ce faire, elles doivent démontrer qu'elles utilisent des outils basés sur l'IA pour détecter rapidement les anomalies ou réduire les temps de réponse de plusieurs heures à quelques minutes. « Pour les assureurs, cela signifie des sinistres moins importants et un rétablissement plus rapide », a fait valoir Nate Spurrier. Des remises sont généralement accordées aux entreprises qui ont mis en place une sécurité solide et permanente. « Les solutions de détection telles que l'EDR (détection et réponse aux incidents au niveau des terminaux) sont désormais largement attendues par les compagnies d'assurance, et la prochaine étape consiste à surveiller en permanence les alertes générées afin de pouvoir prendre rapidement des mesures », ajoute le dirigeant de GuidePoint Security. Dans un avenir proche, les défenses basées sur l'IA pourraient devenir obligatoires pour bénéficier d'une couverture, tout comme le sont aujourd'hui l'authentification multifacteur et les outils de détection et de réponse aux incidents sur les terminaux. Cela signifie que les entreprises qui prennent du retard pourraient se retrouver désavantagées. « Les entreprises qui s’appuient sur des outils traditionnels doivent s’attendre à des primes plus élevées ou à une couverture limitée », a-t-il mis en garde.