Les cyber risques sont-ils assurables?

Transcription

1 Les cyber risques sont-ils assurables? Cyril Nalpas Master Management du Risque Institut Léonard de Vinci Les cyber risques sont-ils assurables? Quelles sont les questions que peuvent/doivent se poser les assureurs et les assurés? La prise en compte grandissante des menaces cyber, et du coût associé à de tels risques, incite les entreprises à chercher à transférer ces risques auprès des compagnies d assurances. En 2013, la Lloyds déclarait que les cyber risques étaient en troisième position des risques majeurs des entreprises, et cela montre bien la volonté des compagnies d assurances de se positionner sur un tel marché. Les entreprises ont en effet vu leur capital stratégique majeur, l information, devenir de plus en plus vulnérable en raison de l augmentation de l interconnectivité (et donc de la multiplication des vecteurs d attaque) et de la vitesse de propagation qu ont apporté les nouvelles technologies de l information. Ces risques touchent les entreprises et les particuliers, et parfois les uns à travers les autres. Le champ étatique, qui semble sortir du périmètre de l assurabilité des risques cyber (bien que de plus en plus la frontière publique/privée devient poreuse, en raison de la responsabilité accrue que l on peut observer dans certains domaines, notamment celui des OIVs). Il convient alors d aborder la typologie des menaces subies par les entreprises, les questions qu elles et leur assureur doivent se poser, puis la stratégie des compagnies d assurance dans ce domaine. Enfin, nous aborderons la question spécifique de l assurance des cyber risques pour les particuliers.

2 I. Menaces cyber : quels risques à couvrir pour les entreprises? 1) Les dommages aux biens La protection contre le vol des données semble être devenue la priorité donnée par les entreprises. Il s agit pour le cybercriminel de récupérer des informations confidentielles afin de les revendre ou tout simplement de nuire à l entreprise ciblée. On pense également aux attaques d un système d information dans le but de le rendre non opérationnel (attaques DDOS), parfois par idéologie (hacktivisme), mais bien souvent à des fins de chantage et d extorsion. Dans ce dernier cas, il est plus courant que l attaque consiste à chiffrer les données et à «offrir» à l entreprise ciblée la remise à disposition du système en échange d une rançon. Il s agit quoiqu il en soit pour les entreprises de parvenir à reconstituer leurs données (à défaut d avoir pu en empêcher le vol), et de limiter leurs pertes d exploitation (par des mesures techniques et par la recherche de couvertures assurantielles). 2) La responsabilité civile Les entreprises ont une responsabilité des atteintes aux droits de la personne, et par là de l exfiltration des données personnelles (parfois confidentielles) de leurs clients comme de leurs employés (article 34 de la loi Informatique et Liberté). Il suffit d une plainte d un client pour que la CNIL ouvre une enquête et soit à l issue de celle-ci en mesure de sanctionner l entreprise (avertissement, amende) et de rendre publique cette sanction. 3) Les dommages à l image et à la réputation Une entreprise victime d une attaque verra son image dégradée, que cela soit par la fuite d une information confidentielle sujette à polémique (cas de l affaire Lu-Danone en 2001), ou par la perte de la confiance accordée par les partenaires et consommateurs (citons le cas très récent d Orange).

3 II. Quelles questions doivent se poser les entreprises et les assureurs? 1) Les vulnérabilités Il s agit de déterminer quelles sont les vulnérabilités des entreprises à assurer. Une cartographie des risques doit être établie, les sources de fuites et les vecteurs d attaques concernant à la fois l enceinte de l entreprise, mais également les données transitant sur les réseaux ou transportées sur appareil mobile par les employés. 2) Une difficile évaluation du risque Pour atteindre l objectif de l assurabilité du risque, il faut pouvoir le mesurer : c'est-àdire déterminer sa probabilité et son intensité. C est un enjeu majeur de l assurance, dans un domaine où les statistiques ne relèvent que d une relativement courte période (à l échelle des risques traditionnels). Pourtant, et nous allons le voir, il existe bien des offres d assurance en matière de cyber risques. III. La stratégie des entreprises d assurance 1) La question de l expertise juridique et technique La cybersécurité est une matière pluridisciplinaire : elle est au croisement de la gestion du risque, de la sécurité informatique (donc technique) et du droit. Si le service juridique des assurances est particulièrement développé, les évolutions apportées par les NTICs ont amené le droit à s adapter. Force est de reconnaître qu au niveau national, la réponse a été franche et relativement rapide : les cyber infractions sont soit traitées sur la base des infractions traditionnelles (la majorité des cas), soit ont donné lieu à une législation spécifique (à titre d exemple, l article du code pénal concerne les atteintes aux systèmes de traitement automatisé de données). Les entreprises n étant généralement pas compétentes pour traiter juridiquement les cyber attaques qu elles subissent, les compagnies d assurances proposent au sein de leurs offres la prise en charge de la gestion juridique du sujet.

4 En revanche, il est bien connu que le monde de la sécurité informatique fait face à une pénurie d experts en sécurité informatique. Les compagnies d assurances n étant pour l instant pas en mesure de constituer un service spécialisé, elles ont généralement fait le choix du partenariat. 2) Le partenariat des compagnies d assurances avec les entreprises spécialisées en sécurité informatique Fort de ce constat, nous avons vu se développer nombre de partenariats entre grands groupes d assurances et grandes entreprises de sécurité informatique (Cassidian Cyber Security/Axa, Thalès/Allianz, etc.). Il s agit de déterminer dans de tels partenariats conjointement la maturité de la culture d entreprise face au cyber risque, de cartographier l ensemble des risques auxquels elle est exposée, et bien entendu de réaliser des audits réguliers. La particularité de l assurance des risques cyber est le suivi continu du risque par le partenariat. Il s agit en outre d offrir une réponse systémique à ce nouveau type de menace, qui n exclut pas pour autant des thèmes plus traditionnels comme celui de la responsabilité civile appliquée aux cyber risques (cas des vols de données clients par exemple). IV Et les particuliers victimes directes? Il existe des produits d assurances à destination des particuliers concernant l eréputation, dont le périmètre est limité : les contenus liés à l activité professionnelle, associative ou politique du souscripteur ne sont pas couverts. La particularité de ce type de contrat est de proposer une prestation de «nettoyage» des données portant préjudice, à l aide d un prestataire : soit par suppression lorsque c est possible, soit en noyant les informations préjudiciables afin de les faire disparaître des premières pages des moteurs de recherche. Du côté de l utilisation frauduleuse de moyens de paiement sur internet, le secteur bancaire a une longueur d avance sur les compagnies d assurances : les vols d identité bancaires dans le cyberespace sont couverts de la même façon qu un vol de carte bancaire dans la vie réelle, et les systèmes de vérifications lors des paiements en ligne permettent d autant plus facilement de prouver que les transactions frauduleuses ne sont pas du fait de la victime.

5 Si l offre en matière de cyberassurance est bel et bien présente aujourd hui sur le marché français, les entreprises françaises sont pour l instant plus frileuses que leurs homologues anglo-saxonnes à franchir le pas. Reste à savoir si cela est dû à un manque de sensibilisation ou à un coût jugé rédhibitoire. Au-delà de l efficacité financière d une souscription à une police d assurance cyber, cette dernière a le mérite d enclencher une démarche qualité au sein de l entreprise vis-à-vis de ces nouvelles menaces.