A propos de : Quanyan Zhu, Insurance of Agentic AI, 3 juin 2026 (https://arxiv.org/pdf/2606.05449):

L’article étudie la question de  l’assurance de l’IA agentique, c’est-à-dire de systèmes qui ne se bornent plus à produire du texte ou des recommandations, mais peuvent planifier des tâches, utiliser des outils, exécuter des décisions, communiquer avec des tiers, modifier des fichiers, intervenir dans des systèmes d’entreprise ou produire des effets durables dans des environnements numériques ou physiques. L’idée centrale est que ces capacités créent des risques qui ne correspondent plus clairement aux catégories classiques de l’assurance, comme la cyberassurance, la responsabilité professionnelle, la responsabilité du fait des produits ou la couverture des dirigeants. L’auteur ne plaide pas pour une police unique « assurance IA ». Il propose plutôt une architecture coordonnée, composée de couvertures complémentaires, avec des règles explicites pour répartir les sinistres lorsque plusieurs causes se superposent.

Le raisonnement part d’une distinction pratique: une IA purement informationnelle peut causer un dommage en donnant une réponse fausse, diffamatoire, trompeuse ou juridiquement erronée. Une IA agentique peut, elle, générer directement l’événement dommageable, par exemple en autorisant une transaction, en envoyant un message, en modifiant un registre, en déployant du code, en refusant une demande, en déclenchant une opération commerciale ou en interagissant avec un système physique. Pour l’assureur, la question déterminante n’est donc pas de savoir si l’entreprise utilise de l’IA, mais quel degré d’autonomie a été accordé au système, quelles permissions externes lui ont été données, quels contrôles humains subsistent et quels environnements il peut modifier.

L’article insiste sur un point souvent négligé: un sinistre causé par l’IA agentique ne suppose pas nécessairement une cyberattaque au sens classique. Une perte peut résulter d’une hallucination, d’un mauvais raisonnement, d’une injection de prompt, d’une délégation dangereuse entre agents, d’une dérive du modèle, d’une défaillance de fournisseur ou d’une action autonome non autorisée. Une police cyber traditionnelle peut donc ne pas répondre si elle exige une intrusion réseau, une violation de sécurité ou une fuite de données. L’auteur rapproche cette situation de la naissance de la cyberassurance: le marché s’est développé avant de disposer de longues séries statistiques, grâce à l’analyse d’exposition, aux scénarios de pertes, à la gestion du risque d’accumulation et à la réassurance.

La définition de l’IA agentique est fonctionnelle. Au niveau le plus bas se trouvent les assistants, comme les chatbots ou copilotes de rédaction, qui produisent du contenu sans pouvoir agir seuls. Viennent ensuite les copilotes capables d’utiliser des API ou des outils, mais sous validation humaine. Plus loin, les agents numériques autonomes peuvent naviguer, exécuter des transactions, modifier des fichiers ou interagir avec des systèmes d’entreprise. Les systèmes multi-agents coordonnent plusieurs agents spécialisés. Enfin, les agents cyber-physiques agissent dans le monde matériel, par exemple via la robotique, les véhicules autonomes, les bâtiments intelligents, les dispositifs médicaux, l’IoT ou les systèmes industriels. Cette gradation est essentielle, car l’autonomie et l’autorité d’action influencent directement la fréquence et la gravité des sinistres.

L’auteur distingue ainsi le risque informationnel du risque d’action. Un modèle qui conseille mal peut engager la responsabilité d’un professionnel ou causer un dommage réputationnel. Un agent qui agit dans un système de paiement, de recrutement, de crédit, de santé, de développement logiciel ou de contrôle industriel peut produire directement une perte opérationnelle, une violation réglementaire, une atteinte à des tiers ou un dommage matériel. Le seuil pertinent, pour l’assurance, est donc la capacité du système à modifier durablement un état externe. C’est ce seuil qui doit guider la souscription, la tarification, les limites de couverture et la gestion des accumulations.

Le marché de l’assurance répond aujourd’hui de trois manières. La première consiste à adapter les produits existants, notamment cyber, media liability, technology errors and omissions, responsabilité produits, etc. La deuxième consiste à ajouter des avenants affirmatifs couvrant expressément certains risques IA, comme les hallucinations, les biais algorithmiques, l’empoisonnement de données, les défaillances de modèle ou les enquêtes réglementaires. La troisième consiste à créer des couvertures dédiées ou coordonnées, comme des assurances de responsabilité IA, des garanties de performance ou des tours d’assurance combinant plusieurs polices. Selon l’auteur, aucun produit isolé ne pourra absorber tout le risque agentique: l’évolution la plus probable est un écosystème de couvertures spécialisées, articulées entre elles.

Cette approche en couches s’explique par la diversité des causes de sinistre. Une injection de prompt entraînant une fuite de données relève plutôt de la cyberassurance. Une réponse erronée fournie par un produit IA à un client relève davantage de la technologie ou de la responsabilité professionnelle. Une sous-performance mesurable d’un modèle peut être couverte par une garantie de performance ou une structure de type paramétrique. Un dommage corporel ou matériel causé par un robot ou un système industriel piloté par IA relève de la responsabilité civile générale, de la responsabilité produits ou d’une extension cyber-physique. Lorsque les causes se mélangent, par exemple cyberincident, défaut de service et comportement autonome de l’IA, il faut des clauses d’allocation, faute de quoi le règlement du sinistre devient incertain et conflictuel.

L’article montre aussi les lacunes de chaque famille de produits. La cyberassurance couvre bien les atteintes à la sécurité, la protection des données, certains contenus médias et l’interruption d’activité, mais elle répond mal à une pure erreur de performance sans incident de sécurité. Les polices E&O peuvent couvrir les pertes financières causées par un logiciel ou service défectueux, mais les hallucinations, biais ou dérives doivent être mentionnés clairement. La responsabilité civile générale et la responsabilité produits conviennent mieux aux dommages corporels ou matériels, mais moins aux pertes économiques liées à un mauvais output numérique. Les extensions cyber-physiques supposent souvent un cyberévénement préalable. Les nouveaux produits IA cherchent précisément à combler ces interstices, notamment par des couvertures de responsabilité IA autonome, des garanties de performance ou des structures coordonnées avec agrégats séparés.

Sur le plan actuariel, l’IA agentique est difficile à tarifer pour trois raisons. Le risque est non stationnaire, car les modèles, leurs usages, les contrôles techniques et le droit applicable évoluent rapidement. Les données historiques de sinistres sont rares. Enfin, les pertes peuvent être fortement corrélées, puisque de nombreux assurés dépendent des mêmes fournisseurs de modèles, clouds, connecteurs, bibliothèques open source ou infrastructures. Une même faille, une mise à jour défectueuse ou une dépendance critique peut donc toucher simultanément de nombreux assurés. L’auteur recommande en conséquence une tarification fondée sur l’exposition réelle et des scénarios de stress, plutôt que sur les seuls critères traditionnels comme le chiffre d’affaires, la taille de l’entreprise ou les limites assurées.

Le cadre de souscription proposé repose sur plusieurs éléments: inventaire des cas d’usage, secteur concerné, volume de transactions, nombre d’utilisateurs, degré d’autonomie, permissions externes, interfaces physiques et criticité des décisions; évaluation des contrôles, notamment validation humaine, moindre privilège, logs, surveillance, tests, retour arrière, gouvernance des fournisseurs, isolation des identifiants et défenses contre les injections de prompt; construction d’une bibliothèque de scénarios, comprenant hallucinations dommageables, fraude agentique, dérive massive, panne de fournisseur, attaque par prompt injection ou dommage cyber-physique; enfin, cartographie des dépendances communes pour mesurer le risque d’accumulation.

L’auteur en tire des conséquences pour la réassurance et le capital. Le risque IA agentique comprend une composante ordinaire, proche de la technologie E&O ou de la responsabilité professionnelle, et une composante catastrophique, proche de l’accumulation cyber. À court terme, les traités en quote-part et les protections en excédent de pertes agrégé sont utiles pour absorber l’incertitude. Les garanties de performance peuvent, dans certains cas, être adossées à des déclencheurs objectifs et mesurables. Mais cela suppose une collecte rigoureuse des données. Les sinistres doivent être codés dès l’origine comme sinistres IA, avec des catégories propres: défaillance opérationnelle, injection de prompt, erreur autonome, dérive de modèle, panne de dépendance ou interaction cyber-physique. Sinon, ils seront noyés dans les catégories cyber ou E&O et le marché ne construira jamais une base actuarielle exploitable.

La partie la plus directement utile aux praticiens concerne la rédaction des polices. L’auteur recommande de déclarer précisément les systèmes IA assurés, leurs fonctions agentiques, leurs outils, connecteurs et permissions externes. Il propose un déclencheur affirmatif d’« événement de défaillance IA », couvrant un output, une recommandation, une décision, une action, une omission, une dérive ou une dégradation qui s’écarte matériellement de la performance prévue et cause une perte couverte. Il recommande aussi des clauses sur la confirmation humaine pour les opérations importantes, les injections de prompt, les changements de version ou d’autonomie, les agrégats IA séparés, les buy-back pour dommages corporels ou matériels, la conservation des prompts, logs, traces d’outils, versions de modèles, validations et historiques de retour arrière.

La conclusion est que l’IA agentique transforme le risque technologique assurable. Elle peut causer des pertes sans compromission cyber, par décision autonome, hallucination, prompt injection, dérive, délégation dangereuse, panne de dépendance ou interaction avec le monde physique. Pour des avocats suisses généralistes, l’enseignement pratique est net: il ne suffit plus de demander si une entreprise dispose d’une police cyber. Il faut examiner l’autonomie du système, les permissions accordées, les contrôles humains, la couverture expresse des défaillances IA, les exclusions, les agrégats, les règles d’allocation, les obligations de journalisation et la répartition des responsabilités entre développeur, intégrateur, déployeur, fournisseur et utilisateur.

Me Philippe Ehrenström, avocat, LLM, CAS en Droit t Intelligence artificielle, CAS en Protection des données – Entreprise et administration