Que recouvrent les cyber-risques ?
Ils ne constituent pas une appellation normalisée et recouvrent des situations très diverses. En tant que courtier, nous y plaçons les risques liés pour nos clients à un dysfonctionnement ou une indisponibilité de leur système d’information, à une atteinte à la confidentialité ou à l’intégrité des données. Nous en évaluons les conséquences financières, car notre métier est d’aller chercher les réponses d’assurance, et pour pouvoir transférer en assurance, il faut avoir pu valoriser la perte.
Quelles raisons expliquent aujourd’hui le développement rapide du marché des cyber-risques ?
Les cyber-risques ont connu un énorme développement au cours des dernières années en raison d’événements qui ont amené les entreprises à se poser beaucoup de questions : l’affaire Sony, par exemple, dans laquelle les informations de plusieurs dizaines de millions d’usagers de jeux en réseau ont été divulguées, parmi lesquelles figuraient des données personnelles et bancaires. Cet événement a montré que toute entreprise, quelle que soit sa taille, peut être victime de ce type de risque. Dans la même période est survenu le virus stuxnet. Même si l'on fait abstraction de la dimension géopolitique pour savoir d’où venait ce
Comment valoriser les conséquences financières des cyber-risques ?
En matière de sécurité informatique, il faut partir de trois notions : la disponibilité des données, leur intégrité et leur confidentialité.
Évaluer les conséquences liées à une indisponibilité des données personnelles dépend de leur utilisation : s’il s’agit d’organiser une campagne marketing, la valorisation semble difficile. En revanche, s’il s’agit de données qui permettent, comme évoqué précédemment, de produire, l’activité de l’entreprise est interrompue : nous valorisons alors la perte de chiffre d’affaires.
Concernant l’intégrité des données, si ces dernières sont modifiées dans un process chimique, les conséquences peuvent être graves : fabrication de produits impropres à la vente, voire risques d’explosion ; dans le secteur financier, les prix peuvent être modifiés dans les algorithmes qui font tourner le trading ou les marchés boursiers, par erreur avec le phénomène des fat fingers, ou par malveillance. La valorisation se fait soit par la perte de chiffre d’affaires – ou de PNB pour les banques –, soit par les surcoûts engagés par la mise en œuvre d’un plan de secours, de frais de réparation, ou encore par la valeur des actifs qui disparaissent.
Enfin, la réglementation a permis de donner une valeur à la perte de confidentialité des données personnelles. À partir du moment où, dans ce cas, une législation impose d’engager une série de mesures pour prévenir ou gérer les conséquences de la divulgation, nous pourrons valoriser le coût de ces dernières. La confidentialité peut aussi porter sur des données commerciales : si un accord de confidentialité a été signé par contrat avec un tiers, en cas de divulgation, ce dernier peut exercer un recours.
Quelles sont ces obligations légales prévues en cas de divulgation de données personnelles ?
En Europe, le régulateur a pris conscience que les données sont des marchandises qui s’échangent et peuvent être utilisées de façon malhonnête et il a signifié aux entreprises qu’elles étaient responsables de leur confidentialité. La réglementation européenne de 2009 (transposée en France en 2011) impose donc aux opérateurs télécoms et aux fournisseurs d’accès à Internet de déclarer aux autorités de contrôle nationales (la CNIL en France) tout incident qui pourrait conduire à la divulgation des données personnelles qu’ils gèrent. Ils devront également informer chacune des personnes concernées en précisant les données en cause, les risques encourus, les précautions que ces dernières peuvent prendre comme mesures de prévention, ce qu’eux-mêmes vont engager pour éviter que la divulgation ne se produise : par exemple, concernant des données bancaires, l’établissement peut organiser un suivi des comptes, mettre en œuvre des systèmes d’alerte pour détecter si les données sont utilisées frauduleusement. Un autre projet de réglementation publié en 2012 et remanié depuis propose d’étendre en Europe cette obligation de notification à tout type d’activités, comme c’est déjà le cas aux États-Unis. En outre, une nouvelle directive en projet prévoit aussi d’identifier dans chaque pays les entreprises gérant des structures vitales qui devront rendre compte aux gouvernements de tout cyber-incident. Ce texte, qui doit être voté en 2013 ou en 2014, pourrait prendre la forme d’un règlement d’application immédiate, ce que privilégient certains lobbyistes pour éviter des interprétations dans les droits nationaux et pour que tous les pays soient traités de la même façon.
En outre, il existe également une législation européenne qui interdit de sortir de l’Union une donnée de citoyen européen : or une entreprise qui a recours à des prestataires de stockage ou de traitement de données, par exemple sous forme de services de cloud, ne sait pas où vont ces données et risque une amende.
Enfin, notons également que la SEC aux États-Unis recommande aux entreprises cotées de décrire dans leur rapport annuel leur gestion des cyber-risques, les pertes rencontrées, de même que les moyens d’assurance mis en œuvre. Cet exemple est suivi avec attention en France…
Quelle est la réponse des assureurs face à ce risque ?
Face à cette diversité de situations, il faut s’interroger sur les vrais besoins de l’entreprise : celle-ci doit avoir dans ce domaine une certaine maturité pour accepter l’existence de ce risque, l’évaluer puis définir les mesures à prendre en cas de réalisation de ce dernier.
Il faut être conscient que l’assurance est un moyen de financer les actions à mener – la gestion de crise, les plans de secours, les conséquences résiduelles –, mais qu'elle ne peut pas résoudre le problème. Dans les grandes banques françaises, par exemple, les directions des risques sont très sensibilisées à cette question et ont des équipes qui vont aussi loin que possible dans cette gestion du risque pour minimiser la probabilité qu’il se réalise, notamment avec des protections des données et des outils de détection des anomalies. En revanche, elles ont rarement le pouvoir de travailler sur l’hypothèse dans laquelle le risque se réaliserait : c’est pourtant lorsque les entreprises vont jusqu’au bout de cette démarche que nous pouvons avoir les actions les plus efficaces. Certaines banques ont aujourd’hui des niveaux de rétention de plusieurs dizaines de millions affectés aux cyber-risques : est-ce suffisant ou faut-il amener un complément de ressources financières avec le marché de l’assurance ? Celui-ci a une capacité en France de l’ordre de 100 millions d’euros. La ressource existe.
Comment les solutions d’assurance suivent-elles l’évolution rapide des cyber-risques ?
L’assurance rédige ses contrats de telle façon que lorsque survient, en caricaturant, une intrusion dans les systèmes, une ressource financière est mise à disposition qui pourra couvrir tous les besoins : réclamations des clients, perte de chiffre d’affaires, coûts de notification... Marsh a ainsi mis au point des programmes cyber-risques, qui partent des besoins des clients, des scénarios que vont nous exposer les directions des risques ou de la sécurité, et essaient de proposer la solution la plus globale et la plus adaptée possible. Il n’existe pas de réponse générique. Par exemple, selon des études fondées sur le marché américain, le coût de notification d’un fichier d’un million de personnes est estimé de 20 à 200 euros par personne. La fourchette est large. Compte tenu de la judiciarisation du marché américain, on peut espérer qu'en Europe, le coût d’une notification sera plus proche de 20 que de 200, mais il n’est guère possible d’être plus précis. Il ne faut pas oublier qu’un contrat d’assurance consiste à écrire des événements qui n’ont pas encore eu lieu. Et il n’est pas possible de vouloir tout prévoir, il faut avoir une approche globale.
Les assureurs sont-ils prêts à couvrir ces risques nouveaux ?
Dans l’assurance incendie, par exemple, nous disposons de statistiques de fréquence des sinistres, ce qui permet de déterminer aisément des tarifs ; nous n’avons rien de semblable en matière de cyber-risque. C’est donc une prise de risque pour les assureurs, mais il s’agit de savoir si ces derniers veulent seulement signer des contrats ou accompagner leurs clients…
Nous essayons de les aider dans ce sens : comme nous nous sommes rendu compte que les assureurs, quand ils analysent les cyber-risques, n’ont souvent pas la disponibilité nécessaire pour rentrer dans les détails de chaque scénario, et évaluer la maturité de l’entreprise dans la gestion des cyber-risques, nous avons conclu un partenariat avec Sogeti pour en réaliser un audit très poussé au sein de l’entreprise dont les résultats détaillés seront uniquement mis à la disposition de cette dernière. Mais Sogeti donnera aussi une opinion globale grâce à laquelle nous aborderons le marché des assureurs, et qui permettra, le cas échéant, d’obtenir de meilleures conditions en capacité, étendue de garantie et de prix. L’objectif est vraiment de travailler sur le modèle de l’entreprise et d’amener le marché à s’adapter à ce dernier, et non l’inverse.
Le marché des cyber-risques est-il rentable aujourd’hui pour les assureurs ?
L’objectif d’un contrat d’assurances est de payer des sinistres. Pour cela, les assureurs doivent pouvoir mutualiser le risque afin que les primes soient supportables par les assurés. Or, à l’heure actuelle, l’expérience « sinistres » en matière de cyber-risques est essentiellement aux États-Unis. En Europe, la seule partie du marché qui est vraiment développée est celle liée aux dommages, contrairement à la responsabilité civile, et elle est aujourd’hui rentable. Ce marché va-t-il devenir comme le croient certains, une pure commodity, avec à la clé une forte baisse des primes ? Difficile à savoir.
