Les agents intelligents accélèrent leur déploiement, marquant le moment clé pour l'assurance commerciale de prendre sa place.

Récemment, le Centre national d’intervention d’urgence sur Internet et d’autres départements ont publié successivement des alertes concernant les risques liés à l’IA, suscitant une attention accrue du marché. Ce phénomène reflète également que, avec l’intégration accélérée de l’IA dans le travail et la vie quotidienne, la nature des risques de cybersécurité évolue constamment — passant des vulnérabilités traditionnelles des systèmes d’information à de nouveaux dangers liés à l’automatisation à haut niveau de privilèges.

Lorsque les agents intelligents d’IA ont la capacité d’appeler des systèmes, de lire des données et de se connecter à des outils externes, la complexité de la protection de la sécurité augmente également. En cas d’erreur de manipulation, d’exécution hors de portée ou d’utilisation malveillante, cela peut avoir des effets négatifs sur les entreprises et les particuliers. Par conséquent, pour l’industrie florissante de l’IA, l’assurance cybersécurité n’est pas seulement un outil de compensation après coup, mais aussi un mécanisme essentiel pour stabiliser les attentes d’innovation et soutenir la commercialisation technologique.

Plusieurs professionnels du secteur interviewés ont indiqué que, avec l’application généralisée de la technologie IA, les attaques en ligne deviennent plus intelligentes et plus clandestines, et qu’une vulnérabilité sur un seul point peut entraîner des réactions en chaîne plus vastes. Dans ce contexte de développement et de sécurité, l’assurance cybersécurité ouvre de nouvelles perspectives. Cependant, des défis concrets subsistent, tels que le décalage entre l’offre et la demande, ou l’absence de normes sectorielles complètes. La question de savoir comment faire en sorte que l’assurance commerciale joue mieux son rôle est devenue une question cruciale pour soutenir le développement de haute qualité de l’industrie de l’IA.

Les agents intelligents d’IA apportent de nouveaux risques

L’émergence des agents intelligents d’IA pourrait aggraver davantage les risques de cybersécurité. Récemment, le Centre national d’intervention d’urgence sur Internet a publié une alerte indiquant que ces agents font face à plusieurs risques, notamment l’injection de prompts, les erreurs de manipulation, la contamination de plugins et les vulnérabilités de sécurité. Par exemple, des attaquants peuvent insérer des instructions cachées dans des pages web pour induire l’agent à divulguer des clés ou des données sensibles ; des plugins malveillants peuvent également voler des clés, implanter des chevaux de Troie, ou permettre un contrôle à distance des terminaux.

En réalité, ces risques ont déjà été révélés dans des scénarios d’assistants IA d’entreprise et d’agents IA. Microsoft a notamment signalé que l’injection indirecte de prompts est devenue une méthode courante d’attaque contre les systèmes IA, où des contenus malveillants dans des courriels, pages web ou documents peuvent induire le système à divulguer des informations ou à effectuer des opérations non prévues.

Ces exemples montrent qu’une fois qu’un agent IA se voit confier des privilèges élevés dans le système, une erreur, une exécution hors de portée ou une utilisation malveillante peut rapidement évoluer en incidents réels de sécurité ou d’affaires.

Selon Chang Shoukang, responsable des risques financiers et de responsabilité professionnelle chez Daxin (Chine) Insurance Brokerage Co., Ltd. (ci-après « Daxin China »), le développement de la technologie IA n’a pas simplifié la protection contre la cybersécurité, mais a plutôt élargi la surface d’attaque et accentué le déséquilibre entre attaque et défense. « Les attaquants peuvent utiliser l’IA pour générer des outils d’attaque automatisés et du contenu de falsification profonde, abaissant ainsi le seuil d’entrée ; les défenseurs doivent investir davantage de ressources dans la surveillance et la réponse en temps réel, et les méthodes de défense traditionnelles peinent à faire face aux nouvelles attaques alimentées par l’IA. »

Il a ajouté que, à l’avenir, les risques en ligne suivront trois grandes tendances : premièrement, l’intelligence, rendant les attaques plus furtives et rapides ; deuxièmement, l’expansion, avec des surfaces d’attaque s’étendant des systèmes informatiques traditionnels à l’Internet des objets et aux systèmes de contrôle industriel, pouvant transformer des attaques en incidents de sécurité physique ; troisièmement, la systématisation, où l’interconnexion sectorielle facilite la transmission des risques via la chaîne d’approvisionnement, provoquant des pertes systémiques à grande échelle.

Les experts du secteur estiment généralement que, face aux nouveaux risques liés aux agents IA, il existe encore peu de produits d’assurance correspondants. Pour prévenir et transférer ces risques émergents, il est nécessaire que les compagnies d’assurance, les entreprises de cybersécurité et autres acteurs renforcent leur collaboration et leur innovation.

Croissance de la demande d’assurance cybersécurité

Dans un contexte de risques de cybersécurité en constante augmentation, le marché de l’assurance cybersécurité connaît une croissance progressive. En tant que produit innovant combinant cybersécurité et services financiers, cette assurance offre un soutien en résilience financière aux entreprises et aux particuliers par le biais de compensations économiques et de gestion des risques, devenant un outil clé de gestion des risques à l’ère de l’économie numérique.

Le développement de cette assurance est soutenu par une politique continue d’amélioration. En 2023, le Ministère de l’Industrie et des Technologies de l’Information, en collaboration avec l’Administration nationale de la supervision financière, a publié conjointement l’avis « Sur la promotion du développement réglementé et sain de l’assurance cybersécurité », précisant la voie de développement intégrée « technologie + assurance ». Par la suite, les premiers et deuxièmes pilotes de services d’assurance cybersécurité ont été lancés. En mars 2026, le Ministère de la Science et de la Technologie et trois autres départements ont publié un avis visant à promouvoir l’innovation dans l’application de l’assurance cybersécurité, à poursuivre les pilotes de services, et à élargir le champ d’application.

Sous l’impulsion de ces politiques, la demande des entreprises pour l’assurance ne cesse de croître. Han Yü, responsable des risques cybersécurité chez Daxin China, indique qu’au cours des dernières années, avec l’accélération de la digitalisation des entreprises chinoises et leur expansion à l’international, le marché de l’assurance cybersécurité a connu une croissance régulière, avec une augmentation continue des primes. Elle cite quatre moteurs principaux : la réglementation et les exigences contractuelles, la demande de coopération dans la chaîne d’approvisionnement, le risque de réclamations de tiers, et la sensibilisation accrue à la gestion des risques par les entreprises, avec une attention croissante de la direction aux incidents de cybersécurité.

Du côté de l’offre, le système de produits d’assurance cybersécurité s’enrichit constamment. Les produits principaux se concentrent sur la couverture des pertes directes de la première partie et la responsabilité envers la troisième partie. La première couvre principalement les pertes économiques directes de l’entreprise, la seconde la responsabilité légale envers des tiers.

Selon les informations publiques, il existe encore peu de produits standardisés et matures spécifiquement nommés « assurance cybersécurité IA ». Le marché privilégie plutôt une approche combinée « assurance responsabilité IA + extension de la couverture cybersécurité ». Les compagnies d’assurance et les courtiers explorent activement de nouveaux modèles de service. Par exemple, China Ping An Property & Casualty Insurance a déjà émis plus de 1500 polices en trois ans, avec une prime totale dépassant 75 millions de yuans, offrant une couverture de plus de 10 milliards de yuans pour les risques liés à la cybersécurité. Daxin China, de son côté, s’appuie sur des ressources mondiales pour fournir une gamme complète de services, de l’évaluation des risques avant souscription à la conception de solutions pendant la contrat et à la gestion des sinistres après la souscription.

Les obstacles au développement doivent être surmontés rapidement

Malgré la croissance continue du marché de l’assurance cybersécurité, des problèmes tels que le décalage entre l’offre et la demande ou l’absence de normes restent présents. Selon les intervenants, pour assurer un développement sain du marché, soutenir l’innovation technologique et la commercialisation, et mieux protéger la sécurité dans l’économie numérique, une collaboration renforcée entre plusieurs parties est nécessaire.

Yang Fan, directeur général de Beijing PaiPaiNet Insurance Agency, a déclaré au « Securities Daily » que, d’une part, la conscience des risques chez les entreprises est insuffisante, elles privilégient souvent la conformité au détriment de la couverture, et la demande n’est pas encore pleinement libérée ; d’autre part, du côté de l’offre, l’absence de normes d’évaluation des risques unifiées et de données historiques sur les pertes rend difficile la tarification des produits, complique l’acceptation des risques et entraîne une forte homogénéité des produits. De plus, la chaîne de services pour la quantification des risques avant souscription et l’évaluation des sinistres après sinistre n’est pas encore totalement intégrée, ce qui limite le développement du marché.

Un responsable de Ping An Property & Casualty a indiqué que, comparé à l’assurance automobile ou à l’assurance de biens classiques, les données sur les primes et les sinistres en cybersécurité sont encore insuffisantes, et l’évolution constante des méthodes d’attaque complique la tâche des assureurs. En outre, l’écosystème de l’assurance cybersécurité doit encore être amélioré. La division du travail entre acteurs doit être davantage expérimentée, et actuellement, l’accent des assureurs reste principalement sur les produits eux-mêmes, sans qu’un modèle de service mature ne se soit encore formé.

De plus, l’émergence de nouveaux modèles et technologies augmente la complexité des risques, mais les produits et solutions de transfert de risques correspondants restent faibles. Han Yü a souligné que la majorité des produits d’assurance cybersécurité sur le marché sont conçus pour des risques traditionnels, et il n’existe pas encore de mécanismes de protection complets pour les nouveaux risques liés aux agents IA, tels que leur devenir de nouvelles cibles d’attaque. Pour les particuliers et les petites entreprises, la couverture est également limitée.

Pour mieux promouvoir la mise en œuvre de l’assurance cybersécurité et construire un écosystème sain, le responsable de Ping An recommande d’intensifier l’encadrement des entreprises, en établissant un système politique combinant « obligation, subvention et incitation », afin d’augmenter réellement la volonté des entreprises de souscrire. Il faut aussi accélérer la construction de normes sectorielles, notamment pour l’évaluation quantifiable des risques, la définition des responsabilités et la tarification des sinistres. En outre, il est nécessaire d’améliorer le système de produits et de services, et d’encourager l’innovation dans les produits.

Yang Fan suggère également d’explorer activement un mécanisme de réassurance « assurance + réassurance » pour la répartition des risques, d’introduire des formes innovantes telles que l’assurance paramétrique, et de promouvoir une intégration approfondie entre l’assurance cybersécurité et l’industrie des services de cybersécurité, afin d’améliorer la résilience et la capacité de récupération des entreprises face aux incidents en ligne.

Globalement, avec la poursuite de l’intégration de la technologie IA et le développement de l’économie numérique, les risques de cybersécurité deviendront plus complexes et diversifiés. L’assurance cybersécurité, en tant qu’outil central de transfert de risques, connaît une opportunité de développement sans précédent. Cependant, des problèmes tels que le décalage entre l’offre et la demande ou une faible intégration de l’écosystème freinent encore le marché. La clé réside dans l’innovation des produits, l’amélioration des systèmes et la coopération multi-acteurs, afin que l’assurance cybersécurité puisse jouer pleinement son rôle de « barrière de sécurité » et renforcer la base de sécurité pour un développement numérique de haute qualité.