Dans un monde de plus en plus dématérialisé, les entreprises font face, aujourd'hui, à des défis et à des contraintes d'un genre nouveau. L'utilisation des technologies de l'information, leur interconnexion tout en offrant une certaine quiétude dans la gestion a ouvert, en parallèle, de nouvelles brèches aux cyber-attaques causant des pertes considérables pour l'économie. La nature de ces risques et l'ampleur des dommages qui en découlent les rendent-ils assurables ? La « cyber-assurance» s'est-elle bien préparée pour la protection et la prévention de ces nouveaux risques qui guettent le patrimoine informationnel des entreprises ? par Abdelfettah Alami Quelle que soit sa taille, toute entreprise est aujourd'hui exposée aux cyber-risques. L'actualité récente montre que même les gros groupes industriels étaient mal préparés contre les nouvelles formes de ces attaques. Les sinistres les plus spectaculaires recensés récemment, entre 2013 et 2015 ont mis à nu le niveau de sécurité mis en place. Target, eBay, Sony Pictures, Orange, TV5 Monde et Ryanair, victimes d'actes de hackers ayant intégré leurs systèmes d'information et occasionnant soit la perte de données des clients, soit un transfert frauduleux de fonds, ou soit carrément le blocage de l'activité de l'entreprise, illustrent ce phénomène. De façon générale, le nombre de victimes et le coût de tels dommages explosent. Selon certaines estimations, en 2013, 42,8 millions de cyber-attaques ont été recensées et 740 millions de données ont été subtilisées. Les vols de données, espionnages et autres cyber-risques auraient coûté entre 300 et 1.000 milliards de dollars. De la sécurité informatique à la cyber-sécurité L'on sait depuis toujours, que la protection des données informatiques faisait partie des préoccupations de chaque chef d'entreprise. Le verrouillage et le contrôle de l'accès aux différents programmes, le renforcement des règles internes de sécurité étaient intégrés dans les budgets d'investissement informatiques des entreprises ; d'ailleurs, on parlait, à l'origine de logiciels et procédures de « sécurité informatique » traitant du bon usage du système d'information pour éviter des comportements irrationnels ou malveillants. En parallèle, les risques encourus, jusqu'aux années 2000 concernaient principalement des virus susceptibles d'affecter le système. Les responsables de tels actes étaient plutôt des « amateurs » propulsés beaucoup plus par l'aventure et le défi d'un exploit informatique dans des milieux réputés inviolables, que par une volonté de nuire. C'est pour cette raison que l'assurance des risques informatiques faisait partie des risques classiques, comme l'étaient les autres couvertures et produits commercialisés par les compagnies d'assurances. C'est ainsi que les garanties généralement offertes couvrent : le risque de responsabilité civile suite à la propagation de virus, au vol de données confiées par des tiers ; la perte d'exploitation suite à un dommage occasionnant un arrêt partiel ou total de l'activité ; etc. Aujourd'hui, les attaques informatiques tant au niveau de leur cadence, qu'au niveau des formes complexes et pernicieuses qu'elles prennent, ainsi que les cibles visées ont changé la donne aussi bien pour les Etats que pour les opérateurs économiques. La cybercriminalité a atteint des proportions alarmantes. A côté des systèmes de défense nationale, plusieurs secteurs économiques deviennent potentiellement exposés, mais non pas dans les mêmes proportions. Selon les scénarios d'accumulation des risques développés par le réassureur mondial Suisse Re, le secteur bancaire est le plus menacé, suivi par les centres médicaux et l'assurance. Les techniques utilisées par un cybercriminel sont assez variées et évoluent en fonction des systèmes de sécurité mis en place. Le moyen le plus classique pour pénétrer le système d'information d'une entreprise est l'envoi d'un e-mail piégé ; une fois que celui-ci est ouvert, l'intrusion du virus se fait instantanément et paralyse le système. La « cyber-mafia » est une forme plus dangereuse, puisqu'elle vise à prendre le contrôle de celui-ci dans le but d'exiger des rançons. Le sabotage d'installations industrielles est une autre facette de l'arsenal utilisé et l'on peut, dans ce genre d'attaques, imaginer les conséquences désastreuses financières et humaines, par exemple, d'une paralysie d'un système de navigation aérienne ou de circuits électriques, télécoms, etc. Face à la recrudescence de tels actes, les assureurs se sont-ils préparés pour protéger les entreprises contre les cyber-risques ? L'inadaptation de l'approche classique pour appréhender ces nouveaux risques Le mécanisme de l'assurance repose sur un certain nombre de principes qui devraient être réunis pour qu'un risque soit assurable. La loi des grands nombres est d'une importance extrême pour les assureurs. D'une part, les statistiques qu'ils utilisent pour établir leurs tarifications seront d'autant plus précises et fiables qu'elles porteront sur un grand nombre d'observations. D'autre part, les résultats techniques des assureurs s'équilibreront mieux quand le portefeuille clients est grand. C'est ce principe qui permet une meilleure mutualisation des risques. C'est la raison pour laquelle les compagnies d'assurances excluent presque toujours les risques de guerre et les risques atomiques de leurs garanties. De même qu'il est admis qu'on ne peut assurer que des risques futurs, non encore réalisés. Mais que dire d'événements dont l'assuré n'a pas connaissance au moment de la souscription de son contrat ? L'on rajoutera que le risque doit être aléatoire, c'est-à-dire que sa réalisation ne doit pas être certaine, mais due au hasard. Enfin, un critère non moins important et observé par l'assureur avant d'accorder sa garantie : c'est celui de la division des risques qui permet d'éviter qu'un sinistre plus important que la moyenne des risques ne mette en péril l'équilibre de la mutualité et partant, la solvabilité de l'assureur. En application de ces règles de base, on peut conclure que les cyber-risques s'y accommodent mal et deviennent théoriquement inassurables. Sur un marché, l'insuffisance des statistiques pour de tels événements, le risque de cumul (donc pas de division de risques) qui est très présent dans les cyber-attaques (les virus informatiques, par exemple, pénétrant un seul ordinateur se transmettent, à partir de celui-ci, à un nombre illimité de PC, d'entreprises ou d'individus dans le monde et en un laps de temps très court) expliquent les difficultés et les hésitations de la plupart des assureurs pour s'aventurer dans ce créneau. La cyber-assurance : un marché minuscule Les conséquences matérielles et immatérielles des cyber-attaques sont peu prévisibles et rendent difficile, voire impossible la maitrise du coût moyen et de la fréquence des sinistres, éléments essentiels qui déterminent le calcul de la prime d'assurance. Aujourd'hui, après une phase d'observation et de connaissance des cyber-risques, quelques compagnies d'assurances mondiales commencent à se positionner sur ce marché du fait de la demande accrue des assurés pour se protéger contre les conséquences de telles attaques. Les principaux risques spécifiques recensés concernent le vol et violation de la confidentialité des données, l'indisponibilité du réseau informatique, les risques médiatiques pour l'entreprise et la cyber-extorsion. La gestion de ce type de risques «émergents » par les assureurs qui ont déjà défriché ce marché s'est avéré coûteuse. Il suffit de rappeler, par exemple, que la cyber-attaque subie par la grande enseigne de distribution américaine Target, lui a coûté 235 M$ dont 90 M$ ont été remboursés par l'assureur. Il en est de même de l'affaire Sony Pictures, qui devrait percevoir 60 M$ de son assureur au titre des préjudices subis suite au piratage de son système informatique en 2014. Le nombre réduit d'acteurs qui opèrent dans le secteur de la cyber-assurance dénote de la timidité et de la peur de s'engager dans un marché à haut risque. Cela explique que, même pour les assureurs qui souscrivent un contrat d'assurance spécifique « Cyber-Risques, plusieurs précautions sont de mise. Evidemment, des montants élevés des franchises et des primes exorbitantes peuvent décourager plus d'un assuré pour acheter de telles garanties. C'est pour cela, que les assureurs qui doivent doubler d'ingéniosité pour une meilleure connaissance et maitrise de ces risques, investissent énormément dans les dispositifs de prévention, de protection des risques et de leur cartographie. Dans ce cas, avant l'offre d'une cyber-assurance, l'assureur procède à un audit de tous les risques au sein de l'entreprise et propose, grâce à ses experts dans le domaine, les solutions visant la réduction de la probabilité d'attaque et la vulnérabilité des systèmes d'information. C'est à ce prix que le transfert de ces risques sur l'assureur pourrait être profitable et supportable pour celui-ci et pour l'assuré.