CYBER-ASSURANCE : It is, perhaps, the end of the beginning (1)

Par Christian de LA FOATA, Président d’Actuarium Consulting

Digitalisation : De la transformation durable

La révolution digitale facilite et démultiplie les échanges planétaires entre les personnes, les entreprises et les systèmes, en développant des interconnexions sources de création de valeur, mais aussi de risques. Le développement de l’interconnectivité, et des produits et services associés, crée des points d’entrée ou de fragilité détectables par la multitude des hackers à l’affût. Avec la publicité faite aux attaques mondiales (WannaCry, NotPetya, Yahoo, Uber, etc.), et le constat de tout un chacun devant son ordinateur, le vent commence à tourner, mettant au rang des préoccupations, dans l’esprit des CEO comme des utilisateurs, les inconvénients de la digitalisation pas très loin derrière ses avantages. Or, alors que la recherche de valeur pousse à l’ouverture, la prise de conscience des risques pourrait inciter au cloisonnement, miner la confiance et freiner l’innovation. Il y a là un enjeu de compétitivité pays, la France étant assez mal positionnée dans les classements mondiaux sur la maturité numérique (2).

Les entreprises et les particuliers ont commencé à faire migrer des données de plus en plus sensibles sur le cloud en déléguant la charge de la sécurité (sans se défaire de leur propre responsabilité) à quelques multinationales fournissant ces services (notamment les Big 4: Amazon, Microsoft, IBM et Google), et en constituant ainsi un risque systémique en raison de l’étendue des réseaux alimentés par ces fournisseurs. Dans un autre domaine, les objets connectés peuvent fournir d’innombrables services et fonctionnalités pour améliorer le confort de vie ou créer de la valeur, mais ils sont principalement développés dans des écosystèmes (de start up notamment) dans lesquels souvent la sécurité n’est pas budgétée, seuls comptent le caractère disruptif de l’innovation, le coût de production et la rapidité de mise sur le marché. En conséquence, des hackers peuvent facilement prendre le contrôle de ces objets à distance et les utiliser par exemple pour conduire des attaques par déni de service (DDoS) comme ce fut le cas contre Airb&b, Twitter ou plus récemment l’hébergeur français OVH dont les serveurs ont été attaqués par près de 150 000 caméras hackées.

En excluant les employés, la menace est polymorphe comprenant des individus isolés copiant des programmes d’attaque disponibles sur le darknet, des réseaux informels de hackers (ou hacktivistes) plus chevronnés en collaboration les uns avec les autres pour s’échanger des services, des réseaux mafieux, des unités structurées composées d’experts financés par des Etats ; et sans doute dans un avenir proche, des réseaux affiliés au terrorisme. Les techniques furtives et les intrusions progressives dans la durée leur permettent de contourner facilement les protections (antivirus, pare-feu) les plus utilisées. Parmi les objectifs on trouve l’espionnage, la fraude ou l’extorsion, et parmi les modalités on trouve notamment la compromission ou le vol de données, ou l’attaque des systèmes SCADA/ICS des équipements industriels. Le taux d’élucidation par la police est infime et les criminels agissent souvent à partir de paradis numériques où ils ne peuvent pas être inquiétés. On peut donc anticiper que la menace cyber ne fera qu’augmenter très rapidement, et que c’est même à partir du terrain cyber que se développeront les conflits futurs entre Etats.

L’ouverture est dans le sens de l’histoire et le cloisonnement à contre-courant, mais la recherche d’un équilibre dynamique entre ces forces opposées passe, de manière liée, par une meilleure gestion des risques, l’adaptation de la réglementation, et un rôle accru de l’assurance. La gestion des risques doit couvrir notamment la prise en compte de la sécurité des systèmes depuis leur conception, la sensibilisation des utilisateurs aux règles d’hygiène informatique (3), l’investissement dans les moyens de cyber-sécurité et dans la veille technique pour prévenir les attaques et y répondre, la planification de la gestion de crise et de la continuité d’activité. S’agissant de la réglementation, elle est en train d’évoluer en Europe avec notamment la Directive sur la sécurité des réseaux et des systèmes d’information (NIS) et le nouveau Règlement sur la protection des données (RGPD). De manière générale, dans un contexte de forte interdépendance des acteurs, la régulation est cruciale pour garantir un niveau de sécurité critique : le maillon le plus faible doit respecter des normes de résistance minimales pour éviter de compromettre toute la chaîne. L’assurance, quant à elle, a un rôle important qu’elle ne joue pas encore pleinement.

Cyber-assurance : Des maux et des causes

Des couvertures silencieuses

Le marché de la cyber-assurance a démarré timidement en France il y a environ cinq ans et les sinistres déclarés ne sont vraiment constatés que depuis deux ans. Et pourtant les cyber-risques sont déjà bien présents, de manière silencieuse (silent cover), dans tous les portefeuilles non-vie, dans les polices générales RC, Dommages, Maritime et Aviation, Responsabilité des dirigeants, ou encore Extorsion et Rançon. En effet, dans les contrats, tous les mots comptent, en particulier ceux qui n’y sont pas. Or l’absence d’exclusion des cyber-causes ou de certains cyber-effets peut conduire à devoir indemniser les sinistres, ou au mieux à devoir gérer des contentieux pour résoudre les incertitudes. Ces couvertures silencieuses en portefeuille n’ont été ni identifiées, ni tarifées par les assureurs, et la mesure des engagements ainsi cumulés est encore peu répandue et nécessiterait le réexamen des libellés des contrats. Pour évaluer l’exposition cumulée, l’approche la plus utilisée consiste à concevoir des scenarios de catastrophes incluant des conséquences physiques, tels que : des incendies en série provoqués par la prise de contrôle du système de gestion des batteries au lithium d’une grande marque d’ordinateur, ou bien un « business blackout régional » engendré par la prise de contrôle par des hackers du système de gestion de générateurs de centrales électriques (4). Sans disposer de chiffre, la profession et le superviseur reconnaissent que l’enjeu est de taille et devrait augmenter avec le temps, compte tenu notamment de la mise en application du Règlement sur la protection des données (RGPD), de l’augmentation et de la sophistication prévisibles des attaques, et de la prise de conscience par les assurés de l’existence de leur couverture. Ces risques devraient donc entrer pleinement dans le périmètre du risk management et du reporting réglementaire ; ce qui, en pratique, n’est pas encore le cas.

Des couvertures affirmatives

La souscription de polices cyber spécifiques, ne s’est développée qu’aux Etats-Unis, bénéficiant d’un besoin créé par les réglementations sur la protection des données mises en place dans les douze dernières années dans les différents Etats. En France, le marché, encore réduit à une cinquantaine de millions d’euros de primes, est essentiellement entre les mains des anglo-saxons (AIG, Beazley, Chubb, Hiscox ou les Lloyds), et des leaders continentaux (Allianz, AXA et Zurich). Cependant, alors que dans toutes les autres branches les perspectives d’évolution sont assez plates, les analystes prévoient une croissance très forte de la cyber-assurance au niveau mondial sur les dix prochaines années. D’environ 4 Mds de dollars aujourd’hui, le volume de primes pourrait dépasser les 20 Mds en 2025 (5). Difficile donc de ne pas vouloir y aller. La demande est encore frileuse en raison d’une mauvaise identification à la fois des risques (accidentels et criminels), et des couvertures proposées par les assureurs (en particulier des différences de périmètres entre les couvertures silencieuses et affirmatives). Ainsi, paradoxalement, on note parmi les secteurs les moins bien assurés les établissements de santé et les petites sociétés de e-commerce. La publicité sur les sinistres graves au niveau mondial et les sanctions prévues par le RGPD (même si elles ne sont pas assurables) suscitent un intérêt qui devrait être orienté avec pédagogie par les souscripteurs.

Toutefois, pour les assureurs qui seraient tentés, la montée démarre sur un chemin de crête comprenant plusieurs obstacles :

Tout d’abord, ils souffrent d’un manque d’expertise technique, et ne maîtrisent pas encore les fondamentaux de ces menaces protéiformes. Là encore, écrire un mot pour un autre peut coûter cher. Les polices ayant été rédigées sans expérience sinistres préalable, la compréhension du périmètre qu’on veut couvrir et l’adéquation des mots utilisés à la réalité des risques ne sont pas acquises. On constate d’ailleurs sur le marché un grand nombre de rédactions (wordings) différentes, sans doute, pour partie, voulant dire la même chose mais disant en fait des choses différentes. L’évolution rapide de l’univers cyber peut rendre caduques les descriptions contenues dans les polices ou activer ici encore des risques non littéralement exclus. Un effort de codification au niveau du marché apparaît donc nécessaire. L’expertise est également nécessaire pour bien définir les conditions de souscription, et permettre en particulier de limiter l’aléa moral qui conduirait les assurés à arbitrer entre cyber-sécurité et cyber-assurance. La cyber-assurance doit être conditionnée au contraire à un investissement des clients dans la cyber-sécurité, et l’assureur doit avoir un rôle dans la diffusion de bonnes pratiques en la matière. Par ailleurs, l’attente des assurés en cas de sinistres ne se limite pas à l’indemnisation, et les offres existantes incluent souvent des services (informatique, juridique, communication) pour gérer la crise. Pour pallier le manque d’expertise interne, la solution à court terme pourrait se trouver dans la recherche de partenariats avec des sociétés appartenant à l’écosystème de la cyber-sécurité selon l’exemple d’Allianz avec Thalès ou d’Axa avec Airbus.

Autre obstacle, il n’existe pas de données exploitables pour permettre aux actuaires de tarifer, et les modèles de segmentation des clients sont encore très embryonnaires. Compte tenu du sous-jacent très instable décrit dans le paragraphe précédent, on peut douter de toute façon que des données historiques puissent être aujourd’hui convenablement ajustées as if (selon le jargon actuariel) pour les transposer dans les conditions de risques et de garanties présentes ou futures. On retrouve cette même difficulté pour le lancement de la plupart des garanties nouvelles, mais avec des enjeux financiers bien moindres. Il faut gérer le risque associé au business plan du nouveau produit, en vérifiant tout d’abord qu’il entre bien dans les limites de l’appétence de l’assureur et, en parallèle, commencer à constituer les bases d’informations qui seront nécessaires aux actuaires. Les premières années, le risque pris et accepté, chargé (comme on peut) dans les primes, permet à l’entreprise de se constituer une expertise et de collecter des données : on commence alors à paramétrer les modèles avec des hypothèses, et on les remplacera par des estimations au fur et à mesure que les données le permettront. Mais, compte tenu de la sous-déclaration des sinistres cyber, des incertitudes et des enjeux, le partage d’information semble nécessaire, en particulier pour éviter des comportements de souscription dangereux. Aussi serait-il nécessaire de constituer des bases d’information de marché, suffisamment protégées pour que les victimes puissent les alimenter sans courir un danger pour leur réputation.

L’existence d’un aléa est le critère majeur d’assurabilité. Or, on cite souvent la phrase de Robert Mueller confirmée par des enquêtes de terrain : «there are only two types of companies: those that have been hacked and those that will be” (6) indiquant l’absence d’aléa sur la survenance de sinistres au premier euro. Mais il reste l’aléa sur la gravité des sinistres individuels et de leur cumul éventuel : « it is not if, but when, how often and how bad» ; ce qui est suffisant pour satisfaire ce critère d’assurabilité. Si la presse révèle essentiellement des sinistres de très grande ampleur, l’étude réalisée par IRT SystemX (7) auprès d’un échantillon de TPE/PME montre de nombreux petits et moyens sinistres (extorsion par rançongiciels notamment) inférieurs ou voisins des franchises des contrats proposés sur le marché. Pour ces sinistres attritionnels souvent explicables par un défaut d’hygiène (3), la valeur ajoutée de l’assureur est surtout dans son rôle de conseil pour l’amélioration de la cybersécurité de ses clients.

Pour les plus grosses expositions, le besoin et le coût en capital pourraient être un frein. Les gains liés à la mutualisation et à la diversification pourraient être limités. En raison des interconnexions, on n’additionne pas des assurés totalement indépendants. En outre, entre branches, l’exposition sur les polices cyber pourrait se cumuler avec des expositions résiduelles dans les polices générales. Enfin, en cas de sinistre systémique, l’assureur pourrait aussi être affecté dans ses opérations en même temps que ses assurés. Toutes ces interconnexions sont presqu’impossibles à mesurer, voire à identifier à la souscription. Ce contexte est propice au développement de la réassurance à la fois pour offrir des capacités et pour apporter une expertise au marché ; les réassureurs s’y préparent en faisant face au même chemin de crête (8). On note par ailleurs des démarches pour initier les marchés de capitaux à la couverture des risques cyber via des instruments financiers (Insurance Linked Securities), selon un modèle qui a prospéré pour la couverture des catastrophes naturelles. Les marchés financiers auront-ils la même appétence pour ces cyber-risques bien moins naturels ? En tout état de cause, pour les sinistres à caractère systémique les plus importants, touchant notamment aux infrastructures des réseaux, le concours de l’Etat serait nécessaire pour aller au-delà des capacités des marchés.
***
Les colloques sont nombreux et font le plein, une multitude de groupes de travail et commissions embouteillent du jus de cerveau (7,8,9,10…), tous les médias en parlent : on n’est clairement pas à l’altitude de croisière, mais tout près, peut-être, d’un décollage par mauvais temps.

Christian de La Foata
1. Churchill, 10 Novembre 1942
2. 24ème dans le Global Information Technology Report 2016 du World Economic Forum
3. ANSSI, Guide d’hygiène informatique
4. Cambridge Centre for Risk Studies Risk Management Solutions, Inc. Managing cyber insurance accumulation risk, Février 2016
5. The Betterly Report, 2016
6. Robert S. Mueller, FBI (avant son changement d’affectation), RSA Cyber Security Conference, 1er mars 2012
7. IRT SystemX, La maîtrise du risque cyber sur l’ensemble de la chaîne de sa valeur et son transfert vers l’assurance, Juillet 2016
8. Apref, Etude sur les « cyber risques » et leur (ré)assurabilité, juin 2016
9. AMRAE, Livre Blanc : Comment débloquer le marché de l’assurance cyber en France, Juin 2017
10. SCOR Focus, Cyber Risk on the rise, Avril 2017

Partager l'article

Commenter