logo
image3

Le numérique, un enjeu de société, des risques structurels


26/07/2018, Article du Livre Blanc « Être assuré en 2030 ! » de l’École Polytechnique d’Assurances (EPA)

Le numérique, un enjeu de société, des risques structurels - Solange GHERNAOUTI et Alain SEVILLA

Article de Solange GHERNAOUTI et Alain SEVILLA, extrait du Livre Blanc « Être assuré en 2030 ! » de l’École Polytechnique d’Assurances (EPA). Ce Livre Blanc est associé au :

 

À l’heure du « tout numérique », où la société se fragilise tous les jours un peu plus par une dépendance croissante aux nouvelles technologies de l’information et de  la communication, les pays doivent relever le défi de la protection de leurs patrimoines numériques, non seulement au sein de leurs frontières géographiques traditionnelles, mais également au-delà de leurs limites nationales, que cela soit du fait de l’usage d’internet et du cyberespace, de tous types d’équipements électroniques portables, des objets connectés ou des services d’informatiques en nuage (cloud computing).
 
Les infrastructures numériques, les services offerts, les processus supportés comme les informations manipulées, constituent désormais le capital informationnel des Etats, des organisations et des personnes. Nouvelle valeur de société, l’information digitale, qu’elle soit manipulée à des fins professionnelles ou privées, est fragile, vulnérable et induit de nouveaux risques.  
 
Dans un contexte de crise économique exacerbée, les valeurs informationnelles doivent être protégées et assurées à hauteur des risques qu’elles engendrent.

De plus, la criminalité économique, comme la cybercriminalité, constituent des facteurs additionnels de risques qui sont, à l’heure de la société de l’information, structurels et permanents. Les impacts de ces risques sont à supporter par la société dans son intégralité au détriment du développement économique des acteurs légitimes. Ils peuvent affecter des personnes, des organisations publiques ou privées et les Etats.

Une exposition aux risques et des réelles menaces

Quelle que soit sa taille ou son secteur d’activité, de la PME à la multinationale, toute entreprise est exposée aux cyberrisques. Elle doit faire face à de nombreuses menaces qu’elles soient internes ou externes, telle que l’hacktivisme, les organisations criminelles motivées par des gains financiers, l’hostilité entre états, l’espionnage et la concurrence économique, l’obtention de capacité d’attaque, l’erreur et la malveillance interne.

Les cyberrisques deviennent une préoccupation majeure de l’entreprise. Elle doit faire face à divers enjeux : le cloud et les technologies mobiles, les problématiques et conséquences d’interruption de réseaux informatiques, le risque d’image et de réputation, la protection de tous types de données y compris les données personnelles, bancaires et médicales, cibles privilégiées des attaques malveillantes.

Les fuites, les pertes de données et interruptions des systèmes d’informations peuvent désormais entrainer des sanctions réglementaires, entacher gravement l’image de l’entreprise et mettre en cause sa pérennité.

Après avoir fait évaluer les principales vulnérabilités à travers un diagnostic initial, l’assurance cyber permet à l’entreprise de bénéficier de services de prévention pour éviter, ou au moins diminuer, les occurrences d’une cyberattaque, et pour pouvoir organiser les mesures d’urgence grâce à des services dédiés. A cet effet, une ligne téléphonique d’urgence disponible 7/7 et 24/24, ainsi qu’une application mobile, sont mises à disposition des dirigeants pour déclarer tout incident et organiser les mesures d’urgence, y compris l’intervention de consultants internationaux.

L’assurance cyber couvre la gestion de crise en prenant en charge différents types de frais et en proposant un accompagnement permettant de faire face à toutes situations de crise.

Tous les frais sont couverts : les frais de consultant informatique, juridique ou en communication, les frais de notifications, de monitoring et de surveillance, de restauration des données ou de résolutions d’une cyber-extorsion.

L’assurance cyber couvre la responsabilité civile de l’entreprise en prenant en charge les réclamations de tiers consécutives à une cyberattaque, à une divulgation des données, même si l’entreprise a sous-traité l’hébergement et le traitement de ses données.

Enfin, elle prend en compte aussi :

  • Les pertes d’exploitation subies en cas d’interruption de réseaux suite à un incident de sécurité, un acte de malveillance ou de négligence, ou à un dommage matériel.
  • Les enquêtes et sanctions administratives éventuelles, complexes lorsqu’elles concernent plusieurs pays, en prenant en charges les frais liés à l’accompagnement et la défense pendant la durée de l’enquête.
  • Les sanctions pécuniaires prononcées par les autorités.

Par cette approche globale et structurée, l’assurance cyber pourrait devenir un socle assurantiel indispensable pour la pérennité des entreprises dans la prochaine décennie.

Une nécessaire démarche assurantielle

A l’horizon 2030, les risques numériques vont représenter un enjeu majeur que les compagnies d’assurances doivent, d’ores et déjà, intégrer dans leur stratégie de développement. Ces nouveaux risques « Cyber » quelle que soit leur origine intentionnelle ou non, doivent recevoir une couverture assurantielle efficiente, cohérente et complémentaire à celles existantes dans un contexte de gestion holistique des risques. Ainsi dans une approche globale d’une offre d’assurance en termes de prévention, d’accompagnement, de gestion de crise et de reprise d’activité par exemple, il peut être proposé une réponse globale et transverse qui intègre les étapes suivantes(1) :

  • Phase préventive : mise en place d’un diagnostic en amont pour diminuer les occurrences des incidents liés au numérique et surtout réduire les impacts opérationnels et financiers ;
  • Phase d’accompagnement et de conseil 24/7 : avec la rédaction annuelle d’un document d’analyse des risques numériques ;
  • Phase de gestion d’incidents et de crise numérique ;
  • Phase de reprise normale d’activité : mise en œuvre de la couverture assurantielle de la perte du chiffre d’affaire, de paiement de rançon ou d’amendes administratives par exemple.

La cyberassurance, levier de la cybersécurité

WanaCry, NotPetya, Shadowpad, … la liste des malwares, en circulation ne cesse de s’allonger, comme celle d’ailleurs du nombre de leurs victimes. Les pertes directes et indirectes des problèmes de cybersécurité sont de plus en plus importantes. Ainsi par exemples NotPetya aurait coûté 250 millions d’euros à St-Gobain, 110 au groupe pharmaceutique Reckitt et environ 300 millions de dollars au transporteur maritime danois Maersk ainsi qu’à Fedex. Au-delà des dégâts financiers que certaines entreprises, ou secteurs d’activité, qui pourraient sur le long terme, ne plus être en mesure de supporter, c’est toute l’économie et le mode de fonctionnement de la société qui sont devenus vulnérables aux cyberrisques.

Leur persistance et envergure, notamment dues aux interdépendances et interrelations des entités impliquées (effet systémique et dynamique de boules de neige), ou encore à l’inadéquation ou l’obsolescence des dispositifs de secours, rendent le retour à la normal de plus en plus complexe, coûteux, difficile et éventuellement impossible.

La cybercriminalité et sa déclinaison en terrorisme informatique, aux impacts à grande échelle, pouvant affecter tous les services vitaux et donc toute la population, effritent la stabilité économique et épuisent les victimes. Cela soulève des enjeux considérables et pose des problèmes critiques de maitrise des risques et de gestion de crise.

Les organisations se tournent de plus en plus vers des mécanismes assurantiels complémentaires pour couvrir des défauts d’efficacité de leur stratégie et de mise en œuvre opérationnelle de leurs mesures de cybersécurité. Le monde de l’assurance est donc confronté à devoir proposer des instruments adaptés aux menaces générées par l’usage extensif du numérique, par la dépendance des organisations aux systèmes d’information et à la réalité des cyberincidents, qu’ils soient d’origine malveillante ou non. Toutefois, le marché de l’assurance des données et des infrastructures numériques peine à se développer. Il doit s’adapter en permanence à la réalité des menaces, à leur intensité et suivre l’évolution des cyberrisques (vol de données, escroqueries, perturbation, destruction des infrastructures et services, etc.).  Une compréhension accrue des vulnérabilités, des menaces et de leurs impacts, mais aussi des mesures de la cybersécurité et des rôles et responsabilités de chacun des acteurs, est nécessaire au bon développement de ce nouveau secteur d’activité.

De nouveaux défis pour le monde de l’assurance

Dès lors, il est devenu crucial pour les professionnels du monde de l’assurance, de maitriser les outils conceptuels, méthodologiques et pratiques qui permettent de contribuer à :
•    Concevoir, développer, commercialiser des produits assurantiels dans le domaine des cyberrisques ;
•    Dialoguer, conseiller, accompagner des clients dans les démarches d’assurance de leurs systèmes d’information, de leurs infrastructures numériques et de leurs données.

En contrepartie, tous les dirigeants économiques se doivent également de comprendre quels sont les moyens et compétences nécessaires au pilotage, à la gouvernance et au contrôle de la cybersécurité. Tout cela serait de peu d’utilité s’ils ne sont pas en mesure de connaître les valeurs qui doivent et qui peuvent être assurées, contre quoi les assurer, ni d’identifier les contraintes techniques, organisationnelles, managériales et légales de la cybersécurité dont il faut tenir compte dans la réalisation d’une démarche de cybersécurité.

Néanmoins, tous les cyberrisques sont-ils assurables ? À quels coûts, dans quelles conditions, avec quelles garanties ? Comment fixer le montant d’une police d’assurance en cas de black-out numérique affectant une région, un pays, un continent ? Quid des problématiques de la réassurance ?

Des perspectives de risques inassurables

S’il est important, pour les organisations de pouvoir s’appuyer sur le confort que peut procurer une bonne assurance, force est de constater que la majorité d’entre elles, en ne s’intéressant qu’aux symptômes de la cyberinsécurité et non pas à leurs causes, sont encore trop souvent confrontées à l’incapacité à anticiper les scénarios de risques, de les prévenir et à s’adapter aux évolutions en cours.

La démarche assurantielle oblige toutefois à s’interroger sur la nécessité de qualifier, voire certifier des solutions et démarches de sécurité, d’apprécier la maturité des entreprises vis à vis de leur posture en matière de cybersécurité et de leurs capacités de gestion de crises et de communication.
Par ailleurs, que cela soit du côté de l’assuré ou de l’assureur, pour répondre à la complexité des environnements à maitriser et des problèmes à résoudre, pour réduire l’incertitude ou encore faciliter la prise de décision, la tendance est d’avoir recours à des systèmes d’intelligence artificielle.

Des questions centrales demeurent, à savoir : Comment contrôler le bon fonctionnement de ces systèmes d’intelligence artificielle ? Comment sécuriser tous leurs composants et toutes leurs interrelations, durant tout leur cycle de vie? Comment les assurer ? En fait, elles renvoient sur les rôles et responsabilités de tous les acteurs qui innovent, conçoivent, fabriquent, mettent en œuvre, gèrent ou utilisent des infrastructures et services issus du numérique et des technosciences. Dès lors, le risque d’apocalypse technologique impossible à assurer est peut-être une chance si on sait en tenir compte dans toute la chaine de production et durant tout le cycle de vie des infrastructures numériques et des activités qui en dépendent.
 

 (1) Ce type d’approche d’assurance du risque « Cyber » pour les entreprises est celle retenue, par exemple, dans le concept développé par la société PHOEBEPROTECT  (www.phoebeprotect.fr ), en partenariat avec les assurances AIG, pour apporter des réponses pragmatiques à des besoins concrets.

 


Solange GHERNAOUTI : Titulaire d’un doctorat en informatique et télécommunication de l’Université paris VI, Solange GHERNAOUTI est Professeure ordinaire à l’Université HEC de Lausanne et Directrice de Recherche du Swiss Cybersecurity Advisory an Research Group. Ancienne auditrice de l’Institut des Hautes Études de Défense Nationale, elle inscrit ses travaux de recherche dans un cadre de réflexion systémique et global qui intègre les dimensions politique, socio-économique, juridique et technologique de la sécurité numérique. Elle donne des conférences en tant qu’experte internationale en cyber-sécurité et cyber-défense auprès d’instances onusiennes, gouvernementales et d’institutions privées.

Alain SEVILLA : Alain SEVILLA, a accompli sa carrière dans l’Armée de Terre et la Gendarmerie Nationale, qu’il a quittée en décembre 2014 avec le grade de Colonel. Ingénieur de l’École Spéciale Militaire de Saint-Cyr, il est titulaire d’un diplôme de fin de deuxième cycle universitaire en électronique, mathématiques et automatisme et d’un diplôme d’études supérieures spécialisés (DESS) de droit « Défense et Sécurité ». Alain SEVILLA est Expert consultant en Cybercriminalité et Preuve Numérique au Conseil de l’Europe et à Civipol, Directeur du Centre européen de recherches et d’analyse des cyber-menaces (CERAC) de l’Université de Strasbourg.