Cyber-risques : l’extension du domaine de la lutte

Que recouvrent les cyber-risques ? Ils ne constituent pas une appellation normalis&eacute;e et recouvrent des situations tr&egrave;s diverses. En tant que courtier, nous y pla&ccedil;ons les risques li&eacute;s pour nos clients &agrave; un dysfonctionnement ou une indisponibilit&eacute; de leur syst&egrave;me d&rsquo;information, &agrave; une atteinte &agrave; la confidentialit&eacute; ou &agrave; l&rsquo;int&eacute;grit&eacute; des donn&eacute;es. Nous en &eacute;valuons les cons&eacute;quences financi&egrave;res, car notre m&eacute;tier est d&rsquo;aller chercher les r&eacute;ponses d&rsquo;assurance, et pour pouvoir transf&eacute;rer en assurance, il faut avoir pu valoriser la perte. Quelles raisons expliquent aujourd&rsquo;hui le d&eacute;veloppement rapide du march&eacute; des cyber-risques ? Les cyber-risques ont connu un &eacute;norme d&eacute;veloppement au cours des derni&egrave;res ann&eacute;es en raison d&rsquo;&eacute;v&eacute;nements qui ont amen&eacute; les entreprises &agrave; se poser beaucoup de questions : l&rsquo;affaire Sony , par exemple, dans laquelle les informations de plusieurs dizaines de millions d&rsquo;usagers de jeux en r&eacute;seau ont &eacute;t&eacute; divulgu&eacute;es, parmi lesquelles figuraient des donn&eacute;es personnelles et bancaires. Cet &eacute;v&eacute;nement a montr&eacute; que toute entreprise, quelle que soit sa taille, peut &ecirc;tre victime de ce type de risque. Dans la m&ecirc;me p&eacute;riode est survenu le virus stuxnet. M&ecirc;me si l'on fait abstraction de la dimension g&eacute;opolitique pour savoir d&rsquo;o&ugrave; venait ce virus [1] , cela montre qu&rsquo;un programme informatique peut ralentir ou stopper l&rsquo;activit&eacute; d&rsquo;une entreprise. Ces deux &eacute;v&eacute;nements ont &eacute;t&eacute; tr&egrave;s m&eacute;diatis&eacute;s, sans compter le piratage du minist&egrave;re des Finances ou de l&rsquo;&Eacute;lys&eacute;e, la d&eacute;couverte de la pr&eacute;sence de pirates dans le syst&egrave;me d&rsquo;information d&rsquo;Areva&hellip; Comment valoriser les cons&eacute;quences financi&egrave;res des cyber-risques ? En mati&egrave;re de s&eacute;curit&eacute; informatique, il faut partir de trois notions : la disponibilit&eacute; des donn&eacute;es, leur int&eacute;grit&eacute; et leur confidentialit&eacute;. &Eacute;valuer les cons&eacute;quences li&eacute;es &agrave; une indisponibilit&eacute; des donn&eacute;es personnelles d&eacute;pend de leur utilisation : s&rsquo;il s&rsquo;agit d&rsquo;organiser une campagne marketing , la valorisation semble difficile. En revanche, s&rsquo;il s&rsquo;agit de donn&eacute;es qui permettent, comme &eacute;voqu&eacute; pr&eacute;c&eacute;demment, de produire, l&rsquo;activit&eacute; de l&rsquo;entreprise est interrompue : nous valorisons alors la perte de chiffre d&rsquo;affaires. Concernant l&rsquo;int&eacute;grit&eacute; des donn&eacute;es, si ces derni&egrave;res sont modifi&eacute;es dans un process chimique, les cons&eacute;quences peuvent &ecirc;tre graves : fabrication de produits impropres &agrave; la vente, voire risques d&rsquo;explosion ; dans le secteur financier, les prix peuvent &ecirc;tre modifi&eacute;s dans les algorithmes qui font tourner le trading ou les march&eacute;s boursiers, par erreur avec le ph&eacute;nom&egrave;ne des fat fingers , ou par malveillance. La valorisation se fait soit par la perte de chiffre d&rsquo;affaires &ndash; ou de PNB pour les banques &ndash;, soit par les surco&ucirc;ts engag&eacute;s par la mise en œuvre d&rsquo;un plan de secours, de frais de r&eacute;paration, ou encore par la valeur des actifs qui disparaissent. Enfin, la r&eacute;glementation a permis de donner une valeur &agrave; la perte de confidentialit&eacute; des donn&eacute;es personnelles. &Agrave; partir du moment o&ugrave;, dans ce cas, une l&eacute;gislation impose d&rsquo;engager une s&eacute;rie de mesures pour pr&eacute;venir ou g&eacute;rer les cons&eacute;quences de la divulgation, nous pourrons valoriser le co&ucirc;t de ces derni&egrave;res. La confidentialit&eacute; peut aussi porter sur des donn&eacute;es commerciales : si un accord de confidentialit&eacute; a &eacute;t&eacute; sign&eacute; par contrat avec un tiers, en cas de divulgation, ce dernier peut exercer un recours. Quelles sont ces obligations l&eacute;gales pr&eacute;vues en cas de divulgation de donn&eacute;es personnelles ? En Europe, le r&eacute;gulateur a pris conscience que les donn&eacute;es sont des marchandises qui s&rsquo;&eacute;changent et peuvent &ecirc;tre utilis&eacute;es de fa&ccedil;on malhonn&ecirc;te et il a signifi&eacute; aux entreprises qu&rsquo;elles &eacute;taient responsables de leur confidentialit&eacute;. La r&eacute;glementation europ&eacute;enne de 2009 (transpos&eacute;e en France en 2011) impose donc aux op&eacute;rateurs t&eacute;l&eacute;coms et aux fournisseurs d&rsquo;acc&egrave;s &agrave; Internet de d&eacute;clarer aux autorit&eacute;s de contr&ocirc;le nationales (la CNIL en France) tout incident qui pourrait conduire &agrave; la divulgation des donn&eacute;es personnelles qu&rsquo;ils g&egrave;rent. Ils devront &eacute;galement informer chacune des personnes concern&eacute;es en pr&eacute;cisant les donn&eacute;es en cause, les risques encourus, les pr&eacute;cautions que ces derni&egrave;res peuvent prendre comme mesures de pr&eacute;vention, ce qu&rsquo;eux-m&ecirc;mes vont engager pour &eacute;viter que la divulgation ne se produise : par exemple, concernant des donn&eacute;es bancaires, l&rsquo;&eacute;tablissement peut organiser un suivi des comptes, mettre en œuvre des syst&egrave;mes d&rsquo;alerte pour d&eacute;tecter si les donn&eacute;es sont utilis&eacute;es frauduleusement. Un autre projet de r&eacute;glementation publi&eacute; en 2012 et remani&eacute; depuis propose d&rsquo;&eacute;tendre en Europe cette obligation de notification &agrave; tout type d&rsquo;activit&eacute;s, comme c&rsquo;est d&eacute;j&agrave; le cas aux &Eacute;tats-Unis. En outre, une nouvelle directive en projet pr&eacute;voit aussi d&rsquo;identifier dans chaque pays les entreprises g&eacute;rant des structures vitales qui devront rendre compte aux gouvernements de tout cyber-incident. Ce texte, qui doit &ecirc;tre vot&eacute; en 2013 ou en 2014, pourrait prendre la forme d&rsquo;un r&egrave;glement d&rsquo;application imm&eacute;diate, ce que privil&eacute;gient certains lobbyistes pour &eacute;viter des interpr&eacute;tations dans les droits nationaux et pour que tous les pays soient trait&eacute;s de la m&ecirc;me fa&ccedil;on. En outre, il existe &eacute;galement une l&eacute;gislation europ&eacute;enne qui interdit de sortir de l&rsquo;Union une donn&eacute;e de citoyen europ&eacute;en : or une entreprise qui a recours &agrave; des prestataires de stockage ou de traitement de donn&eacute;es, par exemple sous forme de services de cloud , ne sait pas o&ugrave; vont ces donn&eacute;es et risque une amende. Enfin, notons &eacute;galement que la SEC aux &Eacute;tats-Unis recommande aux entreprises cot&eacute;es de d&eacute;crire dans leur rapport annuel leur gestion des cyber-risques, les pertes rencontr&eacute;es, de m&ecirc;me que les moyens d&rsquo;assurance mis en œuvre. Cet exemple est suivi avec attention en France&hellip; Quelle est la r&eacute;ponse des assureurs face &agrave; ce risque ? Face &agrave; cette diversit&eacute; de situations, il faut s&rsquo;interroger sur les vrais besoins de l&rsquo;entreprise : celle-ci doit avoir dans ce domaine une certaine maturit&eacute; pour accepter l&rsquo;existence de ce risque, l&rsquo;&eacute;valuer puis d&eacute;finir les mesures &agrave; prendre en cas de r&eacute;alisation de ce dernier. Il faut &ecirc;tre conscient que l&rsquo;assurance est un moyen de financer les actions &agrave; mener &ndash; la gestion de crise, les plans de secours, les cons&eacute;quences r&eacute;siduelles &ndash;, mais qu'elle ne peut pas r&eacute;soudre le probl&egrave;me. Dans les grandes banques fran&ccedil;aises, par exemple, les directions des risques sont tr&egrave;s sensibilis&eacute;es &agrave; cette question et ont des &eacute;quipes qui vont aussi loin que possible dans cette gestion du risque pour minimiser la probabilit&eacute; qu&rsquo;il se r&eacute;alise, notamment avec des protections des donn&eacute;es et des outils de d&eacute;tection des anomalies. En revanche, elles ont rarement le pouvoir de travailler sur l&rsquo;hypoth&egrave;se dans laquelle le risque se r&eacute;aliserait : c&rsquo;est pourtant lorsque les entreprises vont jusqu&rsquo;au bout de cette d&eacute;marche que nous pouvons avoir les actions les plus efficaces. Certaines banques ont aujourd&rsquo;hui des niveaux de r&eacute;tention de plusieurs dizaines de millions affect&eacute;s aux cyber-risques : est-ce suffisant ou faut-il amener un compl&eacute;ment de ressources financi&egrave;res avec le march&eacute; de l&rsquo;assurance ? Celui-ci a une capacit&eacute; en France de l&rsquo;ordre de 100 millions d&rsquo;euros. La ressource existe. Comment les solutions d&rsquo;assurance suivent-elles l&rsquo;&eacute;volution rapide des cyber-risques ? L&rsquo;assurance r&eacute;dige ses contrats de telle fa&ccedil;on que lorsque survient, en caricaturant, une intrusion dans les syst&egrave;mes, une ressource financi&egrave;re est mise &agrave; disposition qui pourra couvrir tous les besoins : r&eacute;clamations des clients, perte de chiffre d&rsquo;affaires, co&ucirc;ts de notification... Marsh a ainsi mis au point des programmes cyber-risques, qui partent des besoins des clients, des sc&eacute;narios que vont nous exposer les directions des risques ou de la s&eacute;curit&eacute;, et essaient de proposer la solution la plus globale et la plus adapt&eacute;e possible. Il n&rsquo;existe pas de r&eacute;ponse g&eacute;n&eacute;rique. Par exemple, selon des &eacute;tudes fond&eacute;es sur le march&eacute; am&eacute;ricain, le co&ucirc;t de notification d&rsquo;un fichier d&rsquo;un million de personnes est estim&eacute; de 20 &agrave; 200 euros par personne. La fourchette est large. Compte tenu de la judiciarisation du march&eacute; am&eacute;ricain, on peut esp&eacute;rer qu'en Europe, le co&ucirc;t d&rsquo;une notification sera plus proche de 20 que de 200, mais il n&rsquo;est gu&egrave;re possible d&rsquo;&ecirc;tre plus pr&eacute;cis. Il ne faut pas oublier qu&rsquo;un contrat d&rsquo;assurance consiste &agrave; &eacute;crire des &eacute;v&eacute;nements qui n&rsquo;ont pas encore eu lieu. Et il n&rsquo;est pas possible de vouloir tout pr&eacute;voir, il faut avoir une approche globale. Les assureurs sont-ils pr&ecirc;ts &agrave; couvrir ces risques nouveaux ? Dans l&rsquo;assurance incendie, par exemple, nous disposons de statistiques de fr&eacute;quence des sinistres, ce qui permet de d&eacute;terminer ais&eacute;ment des tarifs ; nous n&rsquo;avons rien de semblable en mati&egrave;re de cyber-risque. C&rsquo;est donc une prise de risque pour les assureurs, mais il s&rsquo;agit de savoir si ces derniers veulent seulement signer des contrats ou accompagner leurs clients&hellip; Nous essayons de les aider dans ce sens : comme nous nous sommes rendu compte que les assureurs, quand ils analysent les cyber-risques, n&rsquo;ont souvent pas la disponibilit&eacute; n&eacute;cessaire pour rentrer dans les d&eacute;tails de chaque sc&eacute;nario, et &eacute;valuer la maturit&eacute; de l&rsquo;entreprise dans la gestion des cyber-risques, nous avons conclu un partenariat avec Sogeti pour en r&eacute;aliser un audit tr&egrave;s pouss&eacute; au sein de l&rsquo;entreprise dont les r&eacute;sultats d&eacute;taill&eacute;s seront uniquement mis &agrave; la disposition de cette derni&egrave;re. Mais Sogeti donnera aussi une opinion globale gr&acirc;ce &agrave; laquelle nous aborderons le march&eacute; des assureurs, et qui permettra, le cas &eacute;ch&eacute;ant, d&rsquo;obtenir de meilleures conditions en capacit&eacute;, &eacute;tendue de garantie et de prix. L&rsquo;objectif est vraiment de travailler sur le mod&egrave;le de l&rsquo;entreprise et d&rsquo;amener le march&eacute; &agrave; s&rsquo;adapter &agrave; ce dernier, et non l&rsquo;inverse. Le march&eacute; des cyber-risques est-il rentable aujourd&rsquo;hui pour les assureurs ? L&rsquo;objectif d&rsquo;un contrat d&rsquo;assurances est de payer des sinistres. Pour cela, les assureurs doivent pouvoir mutualiser le risque afin que les primes soient supportables par les assur&eacute;s. Or, &agrave; l&rsquo;heure actuelle, l&rsquo;exp&eacute;rience &laquo; sinistres &raquo; en mati&egrave;re de cyber-risques est essentiellement aux &Eacute;tats-Unis. En Europe, la seule partie du march&eacute; qui est vraiment d&eacute;velopp&eacute;e est celle li&eacute;e aux dommages, contrairement &agrave; la responsabilit&eacute; civile, et elle est aujourd&rsquo;hui rentable. Ce march&eacute; va-t-il devenir comme le croient certains, une pure commodity , avec &agrave; la cl&eacute; une forte baisse des primes ? Difficile &agrave; savoir. 1 Stuxnet est un ver informatique d&eacute;couvert en juin 2010, suppos&eacute; d&eacute;velopp&eacute; conjointement par les &Eacute;tats-Unis et Isra&euml;l pour s'attaquer &agrave; des syst&egrave;mes iraniens.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Cyber-risques : l’extension du domaine de la lutte

À retrouver dans la revue

Banque de détail

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Blockchain/Cryptoactifs

Les garanties bancaires
sont d’excellents cas d’usage

Banque de financement et d'investissement (BFI)

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »

Paiements

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Cyber-risques : l’extension du domaine de la lutte

À retrouver dans la revue

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Les garanties bancaires sont d’excellents cas d’usage

« Paris est le centre de gravité pour tous les instruments financiers traités en euros »

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Panorama réglementaire des actifs numériques

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Les garanties bancaires
sont d’excellents cas d’usage

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »