Avec ESSEC Knowledge Editor-in-chief
La menace cyber est omniprésente. Il est pratiquement impossible de passer une semaine sans en entendre parler, qu'il s'agisse de l'ingérence de la Russie dans les élections américaines ou de cyberattaques importantes contre des hôpitaux et des municipalités en France. La guerre en Ukraine et la pandémie de COVID-19 ont montré à quel point nous dépendons des solutions informatiques pour communiquer et travailler, et à quel point nous sommes vulnérables lorsque les pirates informatiques frappent. Marie Kratz, professeure de probabilités et de statistiques au département IDS de l'ESSEC et Directrice du CREAR de l'ESSEC, et Michel Dacorogna, expert en gestion des risques, ont présenté un aperçu des dernières avancées dans la recherche sur les risques cyber (1).
L'un des défis de la gestion des risques cyber est la rapidité avec laquelle la technologie évolue : les solutions d'hier peuvent s'avérer inefficaces pour les problèmes de demain. Reflétant la pénétration toujours plus grande de la technologie de l’information dans nos sociétés, le Centre national Suisse pour la cybersécurité (NCSC) a enregistré une augmentation de 227 % du nombre d'attaques signalées entre 2021 et 2023. De plus, notre monde est fortement interconnecté, et seuls quelques fournisseurs dominent le marché mondial des services cloud et des systèmes d'exploitation. Cela crée un risque systématique, où tous les consommateurs partagent le même risque. La seule façon de l'éviter serait de rester hors ligne, mais cela est plus facile à dire qu'à faire en 2024. La professeure Marie Kratz remarque que "la modélisation de ce risque doit donc tenir compte de notre monde fortement connecté".
Qu'est-ce que le cyberespace ?
Bien que le cyberespace soit virtuel, son impact sur la société est bien réel et il est régi par un grand nombre de règles similaires à celles des autres espaces : on peut donc le considérer comme un espace supplémentaire, au même titre que la terre, l'air et la mer. Comme dans les autres cas, plusieurs entités opèrent dans le cyberespace, notamment des agences gouvernementales, des groupes d'intérêt, des entreprises et des particuliers.
Évaluer le risque cyber
Trouver les bonnes données représente un défi lors de l’évaluation du risque cyber. Les victimes de cyberattaques hésitent souvent à divulguer les détails de l'attaque, craignant une mauvaise publicité. Cette situation commence à changer avec l’augmentation du nombre d’organismes de réglementation et d’assurances pour le cyber. Les chercheurs soulignent également que les cyberattaques sont de plus en plus préjudiciables sur le plan financier, avec une explosion de la demande de rançons, tandis que ces attaques deviennent de plus en plus sophistiquées. A mesure que la cybersécurité s’améliore, les pirates perfectionnent leurs compétences, stimulés par les gains substantiels que leur procurent leurs activités.
Il est également difficile de calculer le prix d’une assurance pour ce risque, car les pirates informatiques ont tendance à s'attaquer à des cibles dont les valeurs sont intangibles, comme la réputation ou les élections, ce qui rend les conséquences financières difficiles à évaluer. Actuellement, les assureurs ont tendance à plafonner l'indemnisation possible pour ces pertes, alors que les entreprises demandent une plus grande couverture.
La complexité des cyberattaques est amplifiée par leur potentiel à provoquer des perturbations étendues dans notre environnement mondial interconnecté, où l'assaut contre une entité peut entraîner une réaction en chaîne affectant d'autres cibles. Les chercheurs notent également que le risque cyber comporte un risque politique important : il peut avoir un impact sur les résultats géopolitiques et les hôpitaux, par exemple. Cela signifie que les crimes cyber sont fortement médiatisés, pouvant entraîner une perte de confiance dans les gouvernements si ceux-ci se révèlent incapables de les traiter correctement.
Prises dans leur ensemble, ces caractéristiques particulières compliquent l'application des méthodes actuarielles traditionnelles à l'évaluation des risques cyber. Néanmoins, les auteurs soulignent que l'analyse des risques extrêmes constitue une première approche viable pour relever ce défi. Les chercheurs décrivent cinq types de modèles pour le risque cyber : les modèles actuariels, les modèles stochastiques pour la contagion du risque, les modèles basés sur l’exploitation de grandes bases de données par l’IA, les modèles d'exposition, et les modèles fondés sur la théorie des jeux. Ils soulignent également l'importance de l'intégration des techniques d'IA à la modélisation probabiliste traditionnelle, notant qu'un tel mélange peut produire des modèles plus dynamiques. Cette approche est particulièrement cruciale compte tenu de l'évolution rapide des risques cyber.
Du risque à la résilience
Un concept plus adapté a vu le jour : la "cyber-résilience". Il repose sur l'idée que les failles de sécurité sont inévitables et que, par conséquent, les organisations doivent se concentrer sur leur survie durant l’attaque et une récupération rapide après les incidents, plutôt que sur seule la prévention de cyberattaques. Les gouvernements en particulier doivent s'y atteler : l'Union européenne l'a reconnu et a proposé un projet de loi sur la cyber-résilience. La cyber-résilience comprend les éléments suivants :
- Investir dans des mesures préventives
- Détecter rapidement les attaques
- Résoudre au plus vite les conséquences des attaques
- Améliorer les systèmes pour réduire l'impact des violations
- Veiller à ce que les entreprises puissent accéder à des liquidités afin d'éviter la faillite et de pouvoir continuer à payer les factures et les salaires des employés en cas de rupture des systèmes informatiques.
Ce dernier point met particulièrement en évidence la nécessité d'une couverture d’assurance appropriée, malgré les difficultés rencontrées par les assureurs pour en fournir une adéquate. Pour faciliter ce processus, les chercheurs Michel Dacorogna et Marie Kratz suggèrent de collecter des données sur le risque cyber, de développer des modèles probabilistes pour l'évaluer, de s'associer avec des entreprises de cybersécurité et de développer des modèles commerciaux (comme c'est déjà le cas pour les catastrophes naturelles) accessibles aux assureurs. Ceux-ci couvrent déjà la réhabilitation des données et des systèmes, la protection des données, la recherche des causes des incidents, la gestion de crise, les rançongiciels et les interruptions d'activité (pour garantir la continuité des services), ce dernier point étant considéré comme un besoin essentiel pour la plupart des clients. Toutefois, ceux déjà touchés se plaignent des délais trop longs de règlement des sinistres et de la mauvaise volonté des assureurs qui essaient souvent de se soustraire aux paiements en en contestant leur légitimité.
La professeure Marie Kratz a récemment co-organisé une conférence à Paris réunissant un large panel international de spécialistes (notamment de Microsoft à Seattle, American Academy of Actuaries, de l'ANSSI française, de la Gendarmerie Nationale et de l'ENISA européenne), au cours de laquelle les participants ont débattu des sujets suivants :
- Les progrès de l'IA générative peuvent être à la fois une menace et une arme contre les cyberattaques.
- Les efforts au niveau européen pour coordonner la cyberdéfense et la recherche sur les risques cyber
- L'application de la théorie des jeux pour filtrer les attaques et mieux identifier les cibles potentielles
- De nouvelles méthodes qualitatives pour évaluer le risque cyber dans les systèmes complexes en vue d'améliorer leur sécurité.
Compte tenu de la vitesse à laquelle notre monde subit ces changements technologiques, il n'est pas étonnant que notre compréhension du risque cyber et de la manière de l'assurer ait du mal à suivre. Les chercheurs Marie Kratz et Michel Dacorogna mettent en lumière les avancées récentes, notamment l'évolution de notre état d'esprit vers la cyber-résilience, l'identification des questions à traiter et ce à quoi pourrait ressembler le paysage du risque cyber dans le futur.
Pour en savoir plus
M. Dacorogna & M. Kratz (2023). Managing cyber risk, a science in the making, Scandinavian Actuarial Journal 10, pp. 1000-1021