Le marché de l’assurance face aux cyberattaques dans le transport maritime

L’évolution des technologies s’accompagne presque naturellement d’une évolution concomitante des procédés pour les pirater. Or, dans notre monde, tout s’accélère, et la transformation numérique de l’ensemble des secteurs est le terrain de jeu idéal pour les hackers de tous bords.

Le transport maritime n’échappe pas à la digitalisation et demain la grande majorité des biens que nous achetons vogueront « tout seuls » sur des navires autonomes, sans équipage ou réduit au minimum, avec un commandement à terre. Ce sont donc des milliards de dollars qui transitent chaque jour, lesquels sont fortement exposés aux risques cybernétiques. Combien d’acteurs ont conscience de cette exposition, et comment se positionne la réponse assurantielle dans cet écosystème ?

Des organismes gouvernementaux, des organisations internationales, des acteurs privés de la cyber sécurité et des associations de professionnels de la cyber sécurité maritime sont tous sur le pont, s’agissant des recommandations en matière de prévention des risques cyber. Notre propos est justement de déterminer si les assureurs ont intégré les nouveaux défis du transport maritime connecté, s’ils sont capables de couvrir des engagements pharaoniques, et sur quelles solutions (financières et/ou organisationnelles) ils peuvent s’appuyer. La cartographie des risques spécifiques du transport maritime est une entreprise collaborative entre tous les acteurs du secteur, pour en appréhender les contours et les limites. Mais est-ce qu’un bon management des risques annihile un risque cyber potentiellement systémique voire inassurable in fine ? La prévention est un préalable, l’innovation inéluctable.

Le transport maritime, maillon essentiel

Partons du constat que 90 % du commerce mondial s’effectue par mer. Selon l’Organisation maritime internationale (OMI), le moindre petit grain de sable dans les rouages des mécanismes des échanges peut impacter le monde entier, avec des conséquences économiques et humaines. De nombreux dangers guettent les navires, les organisations, ainsi que les infrastructures, tous informatisés et interconnectés : les attaques cybernétiques. Ce que le monde connaît en règle générale est particulièrement sensible en matière de transport maritime, pour quelles raisons ?

Les acteurs du transport maritime sont assurés, mais les conséquences et les enjeux d’une attaque cyber peuvent être colossaux. Les assureurs et réassureurs ont-ils des capacités suffisantes pour couvrir les conséquences d’un scénario catastrophe ? Et quel est leur niveau de maturité sur ces questions ? Le risque cyber est-il pris suffisamment au sérieux aujourd’hui en transport maritime, au regard des probabilités d’attaque cyber à caractère terroriste par exemple ? À travers le prisme de la réglementation en matière de sécurité maritime sur le plan de la marétique [1] , voyons comment le marché de l’assurance évolue et s’adapte aux nouveaux risques, et dans quelle mesure le risque cyber pourrait à l’avenir devenir inassurable.

Des attaques d’envergure

Premier constat : les exemples d’attaques sont nombreux. Les membres d’un cartel de la drogue ont piraté le port d’Anvers en 2011, en s’introduisant dans le système informatique du port afin de détourner des conteneurs et récupérer la marchandise, avant que les services des douanes n’aient eu le temps d’intervenir. C’est le premier évènement d’envergure identifié en termes d’attaque cyber, ciblant une infrastructure portuaire.

L’année charnière dans l’histoire des attaques cyber semble être 2017 :

– le 12 mai 2017, le ransomware WannaCry a infecté au moins 300 000 ordinateurs utilisant Microsoft Windows, dans 150 pays ;

– le 27 juin 2017, c’est le ransomware NotPetya qui passe à l’attaque en s’abattant sur les ordinateurs du monde entier : « Des ports de conteneurs ont été mis à l’arrêt, des chaînes de production de médicaments se sont immobilisées et des entreprises, comme Saint-Gobain, ont été contraintes pendant des jours de revenir au papier et au stylo » [2] .

Le système à terre visé, plus que les bateaux

Ce sont également de très grands groupes internationaux qui ont été durement touchés, dans le secteur des transports, de l’agroalimentaire, de l’industrie pharmaceutique et bien d’autres ; tous ont essuyé des pertes du fait de l’interruption de leurs usines, chaînes de production et d’approvisionnement. Le géant du transport maritime Maersk, (acteur majeur du secteur avec près de 20 000 conteneurs sur chacun de ses navires), a été l’une des entreprises les plus touchées par NotPetya avec près de 300 millions de dollars de pertes.

Le secteur de la navigation maritime est devenu une cible de choix pour les cyber pirates, avec les attaques successives des quatre géants du secteur depuis 2017 : MAERSK en 2011, COSCO Shipping en juillet 2018, MSC en avril 2020, puis CMA-CGM en septembre 2020. Il n’y a manifestement « aucun autre secteur industriel où les principaux groupes ont subi des cyberattaques majeures l’un après l’autre comme celui-ci » [3] , avec des incidents de plus en plus nombreux.

Or, les attaques visent essentiellement les systèmes à terre et non les navires eux-mêmes. Là où il y a de l’informatique, il y a du risque cyber et les sociétés d’assurance et de réassurance ne sont pas épargnées par la montée en puissance des attaques cyber, à l’instar de CNA Canada le 21 mars 2021. Ironie de l’histoire, cet assureur se positionne lui-même en tant qu’assureur incontournable sur le marché de l’assurance cyber.

De l’attentisme à l’électrochoc

Les attaques cyber du transport maritime sont réelles. Si les conséquences demeurent limitées, à notre connaissance, il n’en reste pas moins que des coûts d’investigation et de restauration des systèmes informatiques, a minima, sont induits par ces attaques et doivent être couverts par des polices d’assurance. Bien entendu ce n’est souvent que lorsque ce type d’évènement survient que l’agent économique se pose la question de sa couverture, et qu’inversement son assureur s’interroge sur ce qu’il couvre…

Dans son rapport annuel « Safety and Shipping Review 2020 » [4] , Allianz GCS fait état d’une incroyable augmentation des risques cyber liés à la connectivité accrue des systèmes informatiques, citant à titre d’exemples les attaques par ransomware (NotPetya en 2017, MSC en 2020). Le risque Cyber devient visible, mais il évolue, au point de provoquer une réaction chez les assureurs. Convergeons-nous vers une clarification de leur couverture dans leurs polices traditionnelles, et donc une meilleure adéquation au risque ?

^e rang des risques les plus importants de l’industrie maritime, juste derrière les catastrophes naturelles [5] .

La prise de contrôle d’un bateau

Si le malware NotPetya en 2017 est à l’origine de pertes financières importantes à travers le monde entier, aucun des navires porte-conteneurs MAERSK n’a pourtant été endommagé. Les autres Compagnies maritimes n’ont connu aucune avarie matérielle notoire suite aux cyberattaques dont elles ont fait l’objet. Qu’en serait-il dans l’hypothèse où les cyber pirates viseraient d’autres objectifs que le vol de données, tels une prise de contrôle du navire ou de son système d’armement, aux fins de destruction du navire et de ses passagers ou d’utilisation comme arme par destination envers des installations portuaires… Tout est techniquement possible, aussi les efforts doivent être concentrés sur la réglementation et la mise en application de celle-ci, afin de réduire les risques.

Dans cette optique, de nombreux acteurs du marché de l’assurance œuvrent auprès des cibles potentielles pour les intéresser aux questions de sécurité, de vigilance et de véritable gestion des risques cyber, en rappelant les réglementations incontournables et en émettant des recommandations.

Véritable partie prenante dans l’élaboration de contrats et clauses contractuelles standardisées, le BIMCO (Baltic and International Maritime Council) a publié plusieurs guides de bonne conduite en matière de cyber sécurité à bord des navires, dont les préconisations sont largement partagées par les armateurs, les sociétés de classification et l’OMI.

Nous pouvons ainsi affirmer que le marché de l’assurance s’est « enfin » réveillé, alors que certains acteurs aient identifié la menace, tel le courtier MARSH, qui avait anticipé qu’avant la fin 2014 une entreprise du secteur maritime pourrait acheter jusqu’à 200 à 300 M$ une couverture contre le risque de perte, de dommage, ou de responsabilité en conséquence d’une cyberattaque [6] . N’est-ce pas 300 M$ de pertes que MAERSK a essuyées, trois ans plus tard ?

Vous avez dit smart ships ?

La digitalisation, ou numérisation, s’accélère depuis une décennie environ et nul secteur n’y échappe, pas même le transport maritime : navires, ports, grues, portiques sont tous informatisés et connectés entre eux, de même que tout est connecté à internet entre la terre et la mer. Les années 2000 sont le tremplin de l’innovation en termes d’automatisation et d’autonomie des systèmes embarqués des navires hyper-connectés, semi ou totalement autonomes. Mais les navires autonomes et sans équipage, les smart ships, n’en sont qu’à leurs prémices tant les obstacles sont encore nombreux sur le parcours de leur navigabilité complète.

En effet, la réglementation internationale actuelle interdit toujours les bateaux sans équipage. En outre, se pose la question de la navigabilité d’un smart ship lequel, pour être en état de navigabilité au sens de la réglementation, doit obtenir un certificat ad hoc. Or, en l’absence de certificat aucun assureur n’accepterait de couvrir pour un navire, ni la responsabilité, ni les dommages consécutifs à une avarie.

Néanmoins, dans l’hypothèse où la réglementation évoluerait favorablement et permette le développement de flottes de navires autonomes, quels assureurs seront assez audacieux pour couvrir les nouveaux risques et sous quelles conditions les garanties seront accordées ? Déjà le P&I Shipowner’s Club propose une couverture complète pour tous types de navires autonomes, contre de nombreux risques liés à leur exploitation…

Histoire de marétique

Mais la sûreté ne dépend plus (totalement) de l’humain ! Faisons ici référence ici à la marétique. Définie comme « l’ensemble des systèmes informatiques et électroniques utilisés dans la gestion et l’utilisation des opérations relatives aux activités maritimes, fluviales et portuaires » [7] , la marétique constitue le point névralgique des navires sous l’angle du risque Cyber.

En septembre 2016, la Direction des affaires maritimes (DAM) a posé la problématique de la cyber sécurité du navire et en a identifié les vulnérabilités spécifiques (AIS, ECDIS, GNSS…). Dans son édition de janvier 2017, la Direction des Affaires Maritimes a gagné en maturité en publiant un nouveau guide d’évaluation des risques et de renforcement de la protection, de façon à « sensibiliser les compagnies maritimes aux cybers risques spécifiques de l’internet industriel à bord du navire afin d’y adapter des règles d’usage préconisées en fonction du risque » [8] .

Véritable outil d’aide à l’identification des risques, intégrant une matrice issue des techniques de cartographie des risques utilisées par les Risk Managers, c’est également une des premières publications gouvernementales à faire référence au secteur de l’assurance (« Pour une installation industrielle, les compagnies d’assurance n’hésitent plus désormais à classer en premier lieu le risque « cyber » et ceci bien avant le risque terroriste et de catastrophes naturelles »), mais ce clin d’œil demeure anecdotique et sert uniquement à poser les constats et dérouler un argumentaire.

En effet le vrai sujet à ce stade est bien la numérisation des navires, désormais complètement informatisés, l’humain n’ayant a priori plus totalement les commandes sur des systèmes désormais automatisés tels que le système de propulsion, de gestion de la sécurité et de gestion de la cargaison, tous critiques et vulnérables.

Le cadre juridique et réglementaire actuel

Cette prise de conscience s’est-elle traduite dans l’arsenal réglementaire et les recommandations des Pouvoirs Publics ? En premier lieu la Convention SOLAS (Safety of Life at Sea) adoptée initialement en 1914, à la suite du naufrage du RMS TITANIC le 14 avril 1912, puis d’autres réglementations, normes et recommandations sont venues progressivement élaborer un socle réglementaire riche à l’intention des acteurs du secteur maritime.

Des codes de sécurité (i. e. ISPS) ont été développés par l’OMI, dans le cadre de la mise en application des conventions adoptées successivement. En complément de la réglementation internationale, des guides de bonnes pratiques en matière de cyber sécurité sont publiés à l’intention des acteurs du secteur maritime, notamment les infrastructures portuaires plus largement ciblées que les navires eux-mêmes.

Ainsi l’ENISA (European Union Agency for Cyber security) est à l’origine d’un rapport [9] qui met en lumière le caractère crucial du transport maritime pour l’UE, et les nouveaux challenges que rencontrent les différentes parties prenantes dans cet écosystème face aux technologies de l’information (IT) et à l’internet des objets (OT). L’ENISA rappelle dans les premières pages de son rapport de 2019 le contexte réglementaire international et européen des cybers attaques. Le terme « Insurance » n’apparaît cependant que dans les toutes dernières pages du rapport, au sujet des parties prenantes reliées au navire [10] , en cohérence avec la ligne de conduite prônée par l’Agence qui élève la prévention au rang de priorité.

Néanmoins, les menaces existent et s’amplifient depuis une décennie au moins, si l’on considère le précédent rapport de l’ENISA, publié huit ans plus tôt en 2011 [11] . Ce document met en exergue la nécessaire approche holistique du risque cyber dans le secteur maritime, fondée sur de solides principes de gestion des risques et de bonnes pratiques et elle pointe du doigt l’absence quasi-totale du secteur de la cyber assurance dans l’approche du risque cyber et les mesures de prévention.

La prévention au cœur du sujet

Les gigantismes combinés des infrastructures portuaires et de celui des navires, son corollaire, posent aussi le problème du cumul des engagements. Il devient essentiel de mettre l’accent sur la nécessité impérieuse d’une prévention rigoureuse, tant les engagements peuvent être colossaux à bord d’un seul navire.

Par extension, les accumulations terrestres représenteraient environ 900 Mds € dans le port de Hong-Kong, 580 Mds à Singapour et 200 Mds à Rotterdam » [12] .

À titre d’illustration de ces cumuls : la catastrophe de Tianjin le 12 août 2015, en quelques chiffres : 165 morts, 800 blessés, 304 immeubles + 12 428 véhicules + 7 533 conteneurs détruits.

La Commission d’enquête aurait chiffré la facture des deux explosions à environ 1,1 Mds €, tandis que l’IUMI avait estimé un coût six fois supérieur. Le courtier en réassurance Guy Carpenter estimait quant à lui que le coût total pour le marché s’élevait à 3,3 Mds $. Cet exemple illustre malheureusement très bien la problématique de la prévention liée à l’accumulation des valeurs dans les ports et les zones de stockage.

Des difficultés de modélisations

Si une cyber attaque en avait été à l’origine ? Dans l’immensité du trafic maritime, fort heureusement les incidents sont rares, a fortiori ceux d’origine cyber ; pour autant les cyberattaques sont plus que jamais au cœur des préoccupations du secteur maritime et de l’OMI. C’est la raison pour laquelle, dans l’optique d’une gestion de sécurité renforcée, en 2017, l’OMI a adopté la résolution MSC 428(98) qui est entrée en vigueur le 1er janvier 2021 [13] . Les armateurs doivent à présent intégrer dans leur système de gestion de la sécurité, la prise en compte des cyber-risques maritimes.

La résolution de 2017 répond partiellement aux enjeux de prévention du risque cyber en étalant son application dans le temps, mais pose aussi le principe de la modélisation de scénarios catastrophes touchant à la fois les grosses unités, mais aussi les infrastructures portuaires.

Quid des scénarios possibles de sinistres majeurs en transport maritime ? Hormis la cyberattaque du port d’Anvers en 2011, nous n’avons pas d’historique sur des évènements cyber majeurs dans le secteur maritime (à l’exception de pertes financières considérables, sans réel dommage matériel). Mais les préoccupations grandissent avec la menace et le Bureau Maritime International, dans un communiqué publié en 2014, « a tiré la sonnette d’alarme en appelant l’ensemble du secteur à se protéger contre les cyberattaques » [14] .

Relevons, dans la publication n° 7 du Centre d’études stratégiques de la Marine en décembre 2014 [15] , la contribution remarquable et visionnaire de son Directeur de recherches, Cyrille P. Coutansais qui, sans explicitement faire référence à des cyberattaques, évoque également la problématique des câbles sous-marins, qui constituent la colonne vertébrale d’internet, en assurant le transport de 99 % des communications mondiales.

L’impact des clauses d’exclusion

L’enjeu crucial du trajet des câbles et des informations qui y circulent, dans un contexte géopolitique instable, y était déjà évoqué, en 2014… or l’on doit considérer les risques associés de détournement de navires câbliers, les 100 000 km de câbles qu’ils installent chaque année dans le monde et les data centers pour les raccorder, ainsi que les lieux d’acheminement et de redistribution des données (les stations d’atterrissement).

Les canaux et détroits (canal de Suez, détroit de Malacca) sont des passages stratégiques aussi bien pour les flux maritimes que pour les flux d’information par câbles sous-marins. Ces voies maritimes représentent de forts enjeux pour le transport de marchandises, de personnes, de télécommunication, d’énergie électrique [16] , de données etc., les risques sont protéiformes, les conséquences d’une cyberattaque peuvent être désastreuses.

Posons l’hypothèse d’une prise de contrôle d’un acteur du transport maritime tel un géant des mers (porte-conteneurs ou navire de croisière) ou un port et ses infrastructures, par le biais d’une intrusion dans les systèmes informatiques. Et imaginons des scenarii possibles et leurs conséquences : les dommages risquent fort de n’être pas garantis, en raison de clauses de marché d’exclusion des risques cyber, telle que la CL 380 « Institute Cyber Attack Exclusion CL. 380 », rédigée en 2003, dont l’APREF (Association des Professionnels de la Réassurance en France) considère que « compte tenu des technologies, on peut s’interroger sur l’applicabilité de clauses conçues il y a près de 20 ans » [17] .

Le risque cyber maritime, dans un contexte de transformation

L’APREF a réuni un groupe de travail composé de représentants de la réassurance (Scor, Partner Re…) et de courtiers spécialisés en réassurance (Aon, Guy Carpenter, Siaci Saint Honoré), chargé de mener une étude « sur les dispositions contractuelles en matière de risque Cyber figurant dans les traités de réassurance en France » en 2020.

Le transport maritime s’inscrit dans une transformation numérique et digitale à marche forcée, sous les yeux encore attentistes du marché de la cyber assurance. Les cyber attaques sont de plus en plus fréquentes, sophistiquées et davantage ciblées. Comme s’il s’agissait de séances d’entraînement avant le coup d’envoi d’une attaque à très grande échelle.

Les assureurs de la branche Marine et les réassureurs, prennent la mesure des risques couverts au regard des engagements colossaux et des enjeux pour l’ensemble du secteur du transport maritime.

L’enjeu des garanties silencieuses

Nous avons constaté que les acteurs peuvent ne pas être assurés contre les risques cyber, par le jeu de la clause d’exclusion conçue par le marché ou simplement parce qu’ils ne sont pas titulaires d’un contrat cyber autonome. Ce sont bien cependant les « silent covers » qui alimentent le débat des assureurs, dans la mesure où de nombreuses polices traditionnelles contiennent des garanties cyber (polices dommages, RC générale, RC des dirigeants), rendant difficile la connaissance de l’exposition aux risques.

C’est à ce titre que les Lloyd’s et l’ACPR ont enjoint les assureurs d’inclure ou d’exclure expressément le cyber risque dans la rédaction de leurs polices dès janvier 2020, soit seulement trois ans après les attaques très médiatisées de 2017 (WannaCry et NotPetya) qui ont traumatisé bon nombre d’organisations et leurs assureurs.

Pour la couverture des conséquences d’un incident cyber, les situations sont différentes suivant :

l’existence d’un contrat cyber (« stand alone ») ;

l’existence de garanties cyber insérées dans des contrats dits classiques de dommages ou de responsabilité civile (« silent cover ») ;

et des contrats dans lesquels les risques cyber ne sont tout simplement ni explicitement couverts ni explicitement exclus.

Pour les titulaires d’un contrat cyber, a priori il n’y a ni interprétation ni débat sur l’octroi de la garantie, toutefois l’origine de la cyberattaque a conduit un assureur à dénier sa garantie.

L’affaire Mondelez contre la compagnie Zurich est particulièrement symptomatique de la problématique d’une cyberattaque dont on soupçonne fortement un Etat d’en être à l’origine, sans pour autant pouvoir en apporter la preuve. Ce conflit oppose un géant américain de l’agro-alimentaire à son assureur qui refuse de l’indemniser des conséquences d’une cyberattaque (NotPetya en juin 2017). Cette affaire est actuellement pendante devant les tribunaux américains, mais l’issue pourrait influencer le marché international de la cyber assurance.

La logique contractuelle veut que le contrat cyber ne puisse être sujet à aucune interprétation lorsque la garantie est claire, quelle que soit l’origine de l’attaque. C’est dans ce contexte qu’une clarification de l’exposition aux risques des assureurs s’impose, dans la mesure où de nombreux contrats classiques comportent des garanties cyber, sans que les porteurs de ces risques ne puissent en apprécier la portée.

Les clauses de garantie cyber sont incluses dans des contrats classiques par exemple, ou ne sont tout simplement pas exclues. On parle alors des « affirmative » ou « non affirmative coverages ». Ainsi, avec l’explosion des cyberattaques [18] les assureurs traquent les garanties « affirmative » ou « non affirmative » qui les exposeraient à des risques qu’ils n’avaient pas envisagé de couvrir, ou au moins à des tarifs beaucoup plus élevés.

Des contrats à cartographier

Le marché de l’assurance a donc entrepris la cartographie des garanties silencieuses sur l’ensemble de ses portefeuilles et ce travail est considérable, tant les textes de couvertures sont nombreux et varient en fonction des modes de distribution.

Cela étant, les assureurs ont commencé début 2020 à généraliser des exclusions « risques cyber » dans les contrats de dommages aux biens et responsabilité générale, sans réel choix pour les assurés que de souscrire (si ce n’était déjà fait) un contrat cyber en « stand alone » [19] . Il est parallèlement intéressant de savoir qu’environ 90 % du marché des contrats cyber en « stand-alone » est localisé aux États-Unis, et approximativement 5 % à 9 % en Europe [20] .

Les assureurs sont réticents à couvrir des incidents cyber dont les conséquences peuvent être catastrophiques. Il n’en demeure pas moins que des réflexions sont menées d’ores et déjà pour d’une part estimer ce que des scénarios catastrophe pourraient engendrer comme conséquences (cf. Shen attack [21] sur les ports asiatiques), et d’autre part calibrer les couvertures en fonction de leurs coûts à mettre en regard des millions de dollars de pertes en jeu (voire des milliards).

Amélioration du marché en 3 étapes

Force est de constater aussi que les tendances actuelles du marché de la cyber assurance sont plutôt : la réduction de l’étendue des couvertures, la baisse des capacités, la hausse des franchises et de la tarification.

Combinées aux clauses d’exclusion de marché, et au retrait d’acteurs sur ce segment, ces tendances plaident pour la création de nouveaux modèles d’assurance des risques cyber en transport maritime.

Les assureurs clarifient avec plus ou moins de célérité les garanties et les couvertures qu’ils accordent, par crainte d’une surexposition, et afin de réduire leurs engagements. Ils ne se retirent pas complètement du marché, mais avancent pas à pas afin d’éliminer, nous l’avons évoqué, les garanties silencieuses.

Etape n° 1 : un partenariat avec les (ré)assureurs

Les assureurs clarifient avec plus ou moins de célérité les garanties et les couvertures qu’ils accordent, par crainte d’une surexposition, et afin de réduire leurs engagements. Ils ne se retirent pas complètement du marché, mais avancent pas à pas afin d’éliminer, nous l’avons évoqué, les garanties silencieuses.

Dès lors, de nouvelles solutions émergeront peut-être des acteurs du secteur maritime, acculturés au management des risques, à l’assurance (et la finance), à l’informatique et à l’internet des objets. Ce nouveau schéma devra néanmoins intégrer les notions fondamentales sur lesquelles repose l’assurance traditionnelle : l’aléa et la mutualisation des risques.

Etape n° 2 : une meilleure modélisation du risque cyber

Les risques cyber maritimes sont identifiés par l’ensemble des acteurs, tant les enjeux de cyber sécurité les concernent tous, y compris l’ensemble de la chaîne d’approvisionnement (supply-chain) dans un contexte de transformation numérique conduit à grande échelle et à marche forcée [22] .

La création de l’association France Cyber Maritime le 17 novembre 2020 et le lancement du Mastère Spécialisé® « Cyber sécurité des systèmes maritimes et portuaires » par IMT Atlantique [23] démontrent en ce sens l’incroyable dynamisme de la France en matière de cyber sécurité maritime, avec le soutien de nombreux acteurs institutionnels du monde maritime [24] .

Cependant la modélisation du risque cyber a besoin de réunir tous les acteurs :

– l’ingénierie de la cyber sécurité maritime, d’une part ;

– l’ingénierie du contrat d’assurance ad hoc, d’autre part.

Les assureurs ont donc tout intérêt à s’appuyer sur les experts en cyber sécurité maritime en privilégiant les modèles qualitatifs (à défaut de modèles quantitatifs) pour estimer au plus juste l’exposition aux risques, les accumulations de risques potentielles et la tarification adéquate.

Étape 3 : trouver des capacités et mutualiser les risques cyber : un réel challenge.

Une fois le modèle construit, qu’il s’appuie sur un pool d’assureurs et de réassureurs, une société mutualiste similaire à un P & I Club ou une société mixte voire sur de gigantesques captives d’assurance ou de réassurance, la difficulté résiduelle demeure l’absence de statistiques fiables sur les sinistres.

En dépit de l’explosion des cyberattaques depuis quelques années, à présent largement médiatisées s’agissant d’entreprises privées ou de collectivités publiques, la question de l’assurance y est toutefois rarement évoquée. Dans le prisme de la médiatisation apparaissaient la nature de l’attaque – principalement par rançongiciel (ransomware), la nature de la cible (privée, publique), les données susceptibles d’être dérobées puis diffusées sur le Darknet, et le montant de la rançon le cas échéant, mais pas l’assurance.

On évoque volontiers le montant des pertes pour les entreprises ou les collectivités publiques, surtout si elles sont importantes sur les aspects financiers ou sociaux, pas de leur éventuelle couverture assurantielle.

Les assureurs souhaitent disposer de données statistiques fiables pour calibrer les garanties et ajuster les tarifs ; la médiatisation des attaques les aide à cet égard. Mais le marché de la cyberassurance et les entreprises qu’il couvre manquent cruellement de visibilité sur les sinistres déclarés et indemnisés, afin d’ajuster les mesures de prévention et de tarification.

À la clef des difficultés de tarification. Si l’on considère le cyber risque au niveau mondial, le montant des primes collectées s’établit à 3 Mds € [25] dont près de 90 % concernent le marché américain qui demeure le plus touché par les cyber attaques. Selon une étude menée par Galea Associés, au niveau européen, les primes se situent entre 500 et 700 M€, sur lesquels la France ne représente que 80 M€ », ce qui montre le faible taux de couverture des cyber risques.

Le montant des primes collectées serait toutefois en nette augmentation, de 87 millions d’euros à 130 millions d’euros en 2020 [26] ; ces chiffres sont intéressants, car on pourrait imaginer que la culture assurantielle des cyber risques s’accroît avec la sinistralité.

Or l’étude initiée par l’AMRAE menée en partenariat avec plusieurs grands courtiers spécialistes du risque d’entreprise, met plutôt en lumière une augmentation du volume des primes due à l’explosion de la sinistralité et des montants d’indemnisation qui en résultent. L’assurance des risques cyber dans le secteur maritime est intégralement corrélée à l’évolution du marché de la cyber assurance dans toutes ses composantes.

Dans ce contexte à hauts risques, les acteurs du transport maritime sont confrontés à des défis multiples :

– la transformation numérique ;

– l’évolution des réglementations internationales ;

– les problématiques induites par les accumulations de valeurs Off-shore et le stockage, la chaîne d’approvisionnement, mais aussi les dangers liés au transport de marchandises dangereuses à l’origine d’incendies à bord des navires, etc.

À cela s’ajoute la décarbonation du transport maritime et l’automatisation des navires vers un transport toujours plus grand, plus vert, plus autonome, si la pandémie n’avait pas mis un coup d’arrêt à cette fuite en avant, pour encore mieux rebattre les cartes (maritimes) de l’assurabilité du risque cyber.

Un risque systémique, comme la pandémie ?

La quasi-totalité des acteurs s’accordent sur le caractère systémique du risque cyber [27] , et aucun (ré)assureur n’a intérêt à mobiliser ses garanties pour couvrir les conséquences d’un même évènement sur l’ensemble de son portefeuille. Relevons toutefois une réelle divergence entre le point de vue des Risk Managers des entreprises et celui des assureurs, porté en France par France Assureurs, au sujet du caractère systémique du risque cyber.

Notion traditionnellement attribuée au secteur bancaire, le risque systémique reste associé aux risques économiques [28] du point de vue des assureurs au sujet des cyberattaques. Dans un scénario catastrophe, le risque cyber est-il une nouvelle pandémie ?

Il est accommodant de faire un parallèle entre la pandémie du Covid-19 et celle que pourrait créer une cyber attaque dans le cadre d’une cyberdépendance généralisée, spécifiquement dans le cadre du transport et de la logistique, secteur qui est constitué d’une chaîne d’acteurs qui partagent des informations. Afin de déterminer si le marché serait ou non en capacité d’allouer des capacités dans l’hypothèse d’une cyberattaque à grande échelle, il est nécessaire de s’interroger sur le caractère effectivement systémique du risque cyber.

Au regard de l’interconnexion accrue de l’ensemble des acteurs du transport maritime, les points faibles sont nombreux et généralement pris indépendamment, les uns des autres. L’étude de scénarios d’attaques cyber d’envergure contre les ports les plus importants du globe ont permis d’envisager le caractère potentiellement systémique du risque cyber, compte tenu de l’interdépendance forte des acteurs économiques et des répercussions par effet dominos sur le reste de la société.

En effet, passant outre les systèmes de sécurité informatique les plus robustes des quelque 400 navires en attente aux extrémités du Canal de Suez en mars 2021 [29] , des hackers auraient pu semer un chaos mondial. Sans possibilité d’établir avec certitude l’identité ni les motivations des hackers, il serait difficile d’opposer certaines exclusions de contrats cyber. Or, le résultat d’une cyberattaque d’une telle ampleur pourrait être un conflit interétatique dans un contexte géopolitique instable. On peut tout imaginer, et tout peut arriver, mais peut-on tout assurer ?

Le caractère assurable en réponse

Le marché de l’assurance cyber n’est toujours pas mature, et toutes les entreprises ne sont pas prêtes à payer des primes conséquentes pour des risques qu’elles évaluent peu ou mal. Sachant que des catastrophes majeures peuvent sérieusement éroder les résultats de la branche Marine (Tianjin…), les assureurs et réassureurs peuvent-ils proposer autant de capacités que nécessaires en cas de sinistre cyber majeur, qui impacterait toutes les branches de façon simultanée ?

Le cyber serait-il un risque systémique inassurable ? La conjugaison de l’accumulation des valeurs avec le risque cyber n’est-elle pas une bombe à retardement pour le monde de l’assurance ? En dépit du manque de clarté des contrats cyber et des exclusions qui diffèrent d’un contrat à l’autre, des solutions existent et sont innovantes :

– les plateformes Blockchain pour l’assurance transport [30] ;

– les conteneurs connectés ;

– les produits d’assurance nouveaux, en totale adéquation avec le secteur maritime.

Nous sommes à l’orée d’une nouvelle ère « cyberassurantielle » qui voit de nouveaux acteurs, de nouveaux outils et de nouveaux produits se développer pour répondre aux nouveaux défis de l’assurance maritime.

Toutefois, ces initiatives doivent impérativement intégrer l’indispensable prévention appliquée aux systèmes informatiques des acteurs du secteur maritime, l’assurance étant le dernier maillon de la chaîne dans le management des risques.

Aussi pour que ne subsiste qu’un risque résiduel, transférable au marché de l’assurance, parallèlement à l’innovation, les budgets sécurité doivent être augmentés pour une cyber sécurité optimale. Même si le marché de l’assurance et de la réassurance innove et trouve les capacités ad hoc, avec le concours des grandes entreprises par le biais de captives, il n’en reste pas moins que la prévention est primordiale.

Des cinq points de consensus

Les professionnels du marché de l’assurance, dans lesquels nous incluons les Risk Managers des plus grandes entreprises, sont quasi unanimes sur la plupart des points abordés.

Nous en retenons cinq :

– le risque cyber est un risque stratégique ;

– la prévention est une partie clef, avec un bon partenariat assuré/assureur, avec le besoin de maîtriser et borner ce risque par les assureurs ;

– la seule branche cyber ne pourrait pas absorber l’ensemble des risques cyber, eu égard au caractère systémique de ce risque ;

– il y a une nécessité de comprendre ce que l’on assure, les « silent covers », quel contrat, quelles garanties, quelles capacités sont en jeu ? Faisons cette cartographie préalablement à une réflexion sur la couverture du risque cyber ;

– la prévention est incontournable, même si des solutions existent dans la réassurance financière, les captives d’entreprises [31] .

Pourtant la cyber sécurité fait encore ses premiers pas dans le monde maritime qui a besoin d’accompagnement, de pédagogie et de financement, car les investissements dans des systèmes informatiques robustes peuvent être considérables. Adaptabilité et agilité du marché sont par ailleurs les clefs d’une couverture satisfaisante.