23 février 2026
Une analyse sur l’impact croissant de l’IA sur l’évaluation et la couverture du risque cyber
De nos jours, l’IA correspond à des réalités bien différentes. Dans notre propos, elle englobe les notions d’IA générative (capable de créer du contenu original en réponse à une sollicitation humaine) et d’IA agentique (permettant d’atteindre un objectif spécifique avec une autonomie significative). Le développement rapide de cette nouvelle technologie apporte deux problèmes distincts : l’apparition de nouveaux risques et l’intensification de certaines menaces pré-existantes.
Par Andoni ETCHEGARAY,
Étudiant Master 2 Master 2 Droit bancaire et fintech, Université Côte d’Azur
Membre de l’Association Niçoise des Étudiants Juristes d’Affaires (ANEJA)
et membre de l’AFJE06
Publication proposée dans le cadre du Master 2 Droit Bancaire et Fintech à l’Université Nice Côte d’Azur - Cycle " Droit des assurances approfondi, thème du risque cyber"
Sans clarification de la part des assureurs, certains risques liés à l’IA pour-
raient être pris en charge implicitement par l’assurance cyber, créant ainsi une « couverture silencieuse »1
Il convient désormais de se prémunir contre l’empoisonnement des données, les fuites d’informations et les violations des droits d’usages.
Les compagnies d’assurances ont adopté deux approches distinctes : l’ajout de garanties spécifiques aux produits traditionnels, comme l’assurance cyber (AXA XL)2, ou l’introduction de clauses d’exclusion (Berkley, AIG).3
L’évolution des technologies IA permet l’apparition du modèle CaaS (Cybercrime-as-a-service). Il permet une augmentation significative de la fréquence de certaines techniques comme le phishing, les deepfakes, les DDoS…
Cela remet en cause la quantification des risques de l’assurance cyber.
Sans précision spécifique, les assurés pensent qu’ils sont couverts pour ce genre de risques liés à l’utilisation de l’IA par leur assurance cyber.
Les assureurs sont réticents à proposer des garanties spéciales contre l’ensemble- des risques IA en vue de la complexité de modélisation. Cependant ils démontrent une certaine agilité en élargissant des couvertures assurantielles traditionnelles (RC Pro, protection juridique et cyber).
Il est possible d’observer des similitudes avec l’émergence de l’assurance cyber. Les pouvoirs publics cherchent à responsabiliser les entreprises, sans transférer les risques vers l’assureur. Pour le cyber, une assurance spécifique s’est développée parallèlement à de nombreuses législations (RGPD, cybersecurity act, NIS 1 et 2). Démarche que l’IA Act semble reproduire. Par ailleurs, comme pour le cyber, les assureurs resteront prudents face au risque lié à l’IA et conditionnent la couverture à des exigences strictes : audits, formations, reportings.4
Les enjeux du cyber se retrouvent dans l’assurance IA. Les grands groupes peuvent internaliser et mutualiser le risque (processus dédiés, captives), tandis que les PME, plus exposées, voient leurs cotisations augmenter lorsqu’elles doivent recourir à des garanties complémentaires. En effet, l’IA a été adopté de manière généralisée, si bien que 90% des entreprises aimeraient une couverture de ces risques.5
Andoni Etchegaray