« Entre septembre 2017 et août 2018, 313’735 offres d’emplois ont été publiés aux USA pour des professionnels de la cybersécurité. Remplir ces postes reviendrait à augmenter de 40% l’effectif des 715’000 employés actuellement en charge de la cybersécurité. » peut on lire dans l’introduction d’un article du New York Times du 14 novembre 2018. Il est intéressant d’observer que le domaine est si récent que presque tous les professionnels de la cybersécurité âgés de plus de 30 ans n’ont pas de master en cybersécurité, écrit Josephine Wolff dans le même article, ni même de diplôme en informatique. Cependant, le vrai problème n’est pas tant le manque de diplôme, mais plutôt un manque de sensibilisation aux risques cyber.
Une mise à niveau nécessaire
Il faut souligner que la majorité des grandes entreprises (6 sur 10) n’a pas d’assurance cyber, bien que les coûts d’interruption d’activité dus aux violations de données soient placés en tête des préoccupations des entreprises, tous secteurs confondus, en terme de risque cyber. Les coûts de la cybercriminalité ont augmenté de façon exponentielle depuis l’énorme faille de sécurité chez Equifax, qui a affecté pas moins de 148 millions de personnes (les données incluaient, entre autres, numéros de cartes de crédit, de permis de conduire, de sécurité sociale, de téléphone, dates de naissance, et adresses emails). Cet exemple de violation de données montre combien le risque cyber peut provoquer une chute importante du cours boursier et une atteinte à la réputation. Et pourtant, l’évaluation des risques cyber n’est pas encore comparable à celle, par exemple, des risques financiers, même si les compagnies sont de plus en plus conscientes de l’importance grandissante de ce type de risque. Elles sont passées, en quelques mois, d’un manque de sensibilisation à un manque de moyens et de compétences pour gérer ce risque.
Les risques cyber sont-ils assurables ?
Mais … peut-on assurer les risques cyber ? Les 26 et 27 juillet 2018, la conférence « Cyber Risks: threats and opportunities for the Asia Pacific Insurance Industry », organisée par la Société Actuarielle de Singapour SAS-ERM et le centre de recherche sur le risque de l’ESSEC, CREAR, a réuni des experts de premier plan sur le sujet. Présentations, discussions, en particulier lors d’une table ronde, ont alterné pour parler de la menace cybernétique, de son évolution, de la gestion des risques cyber, du développement de techniques de modélisation spécifique, de produits d’assurance cyber existants, de l’implication des mondes académique et professionnel. Les discussions ont permis de dégager quelques perspectives importantes sur les prochains défis pour les assurés et les assureurs. À la question « Peut-on assurer les risques cyber ? », Dr. Michel Dacorogna a répondu : « Est-ce la bonne question ? Ne serait-ce pas plutôt, étant donné la forte demande sociale de protection, comment faire pour les assurer ? »
Assurer les risques cyber est un défi certain
Le manque de données statistiques fiables, les pertes sur des éléments intangibles sont difficiles à mesurer. De fait, à cause de la nature des risques posés par les systèmes d’information, il est difficile d’appliquer les techniques actuarielles traditionnelles pour évaluer les futurs incidents. « Le risque cyber est un sujet multidisciplinaire par nature, explique Dr. Marie Kratz, sur lequel chercheurs en informatique, en finance, en gestion des risques, en système d’information, en sciences actuarielles et sciences des données, devraient collaborer pour obtenir une image réaliste de ces risques. Échanger avec les entreprises est également important, ajoute-t-elle, parce que ce sont souvent les premières victimes de la cybercriminalité. Elles ont des connaissances et des expériences importantes, ainsi que des données à partager pour notre analyse ». Il faut encore rechercher et investiguer ce territoire presque vierge pour faire progresser la réflexion sur ce sujet. Elle en veut pour preuve qu’on trouve encore des sociétés qui déposent plainte auprès d’autorités judiciaires pour des préjudices subis, sans se rendre compte qu’elles sont, en fait, victimes de cybercriminalité. « Nous avons besoin d’une meilleure compréhension de ce phénomène, déclare Dr. Kratz, car le risque cyber est devenu l’un des enjeux majeurs pour l’industrie et donc pour l’assurance (et représente aussi une future opportunité commerciale pour un marché de l’assurance saturé par ailleurs). Ce risque peut affecter toutes les sociétés, quelles qu’elles soient ».
L’évolution très rapide des technologies de l’information rend difficile la modélisation de ce risque. De plus, à cause de sa complexité humaine, il ne peut pas être modélisé de la même manière qu’un risque de catastrophe naturelle. Dans l’analyse du risque de catastrophe naturelle, la localisation géographique constitue le facteur crucial, alors que l’analyse d’un risque cyber dans une situation donnée met en jeu plusieurs facteurs : la nature du secteur, le chiffre d’affaires de l’entreprise, les motivations des cybercriminels, les protocoles de sécurité, etc… Une fois l’intensité potentielle de la cybercriminalité reconnue, Dr. Kratz souligne l’importance de combiner les données historiques et des méthodes fondées sur une approche de risque systémique.
Pour progresser dans ce domaine, les assureurs doivent mettre en œuvre une collecte systématique des données liées aux risques cybers, telle que le taux de sinistres, le montant des pertes. Cette collecte permettra dans le futur de mieux ajuster les modèles. En même temps, il faudra combiner ces données avec une approche de stress-test en développant des scénarios d’incidents futurs et en analysant leurs effets sur l’exposition de l’assureur à ces risques. Dr. Kratz pense en outre que pour mieux appréhender les différents aspects du problème, il est important d’inclure aussi une bonne connaissance des motivations de l’utilisateur et de l’attaquant. Dans cette perspective, la tenue de conférences internationales dans différents pays offre un forum essentiel pour l’échange d’informations et d’idées sur la cybercriminalité. Pour améliorer la cybersécurité, il faut prendre conscience qu’on doit aller au-delà des solutions technologiques et des investissements vers la mise en place d’une législation sur ce sujet. Il faut admettre que les pays, qui ont renforcé leur arsenal juridique, constatent une diminution significative des cyberattaques, les assaillants se détournant vers des proies plus faciles.
La blockchain forme un autre maillon de cette chaîne de mesures; elle pourrait aider à renforcer la cybersécurité, notamment grâce à certaines de ses fonctions comme la distribution décentralisée de données, l’immuabilité de ces données, et les signatures digitales basées sur la cryptographie. Mais la blockchain doit aussi relever de nombreux défis, notamment, dans le cadre de sa mise en œuvre, sa capacité à brasser un grand nombre de données à un coût moindre qu’actuellement. En outre, il y a un vrai problème avec l’Internet des objets, car il est fondé sur un modèle de cloud centralisé et la sécurité n’est pas vraiment une priorité des compagnies offrant de tels produits. Leur but est plutôt de produire des objets à moindre coût. Or on sait bien que la protection cyber de ces objets coûte cher.
Renforcer la cyber-résilience pour contrer les menaces
Alors que le terme de « cybersécurité » est aussi vieux que les ordinateurs eux-mêmes, le terme de « cyber résilience » est apparu récemment et prend de plus en plus d’importance. La cybersécurité est focalisée sur la sécurité seule, mais les organisations ont besoin d’une stratégie plus large qui inclut sa capacité à survivre à une attaque et la possibilité d’assurer une partie des risques inévitables. On pourrait se demander si au fond la résilience n’est pas la même chose. Pas vraiment ! Il existe une différence substantielle de sens entre les deux. Le terme de sécurité renvoie à la défense, la protection, la précaution, tandis que celui de résilience fait référence à flottant, élastique, malléable, facile à renouveler et protecteur. En d’autres termes, la cyber résilience qualifie la capacité d’une organisation à se rétablir et à continuer d’exercer son activité lorsqu’elle subit une cyber-attaque. Il s’agit donc de la capacité de retomber sur ses pieds lorsqu’on est confronté à de gros problèmes.
Selon Dr. Kratz tout le concept s’articule autour d’une meilleure compréhension de l’activité de la compagnie, de son infrastructure informatique et des risques liés au deux, afin de mieux la protéger et l’assurer. Il est primordial de développer et de mesurer au niveau de l’assuré cette résilience aux risques cyber. C’est là la condition indispensable de son assurabilité.
− − −