Dans le monde réel, les assureurs ont su industrialiser leurs modèles pour parvenir à couvrir à peu près tous les risques. Dans le monde numérique, c’est plus difficile…  

Pour l’assureur Allianz, les risques cyber sont aujourd’hui la première préoccupation des dirigeants. Dans son Baromètre 2023, ils sont en effet cités par 39 % des répondants en Europe, ex-aequo avec l’interruption d’activité. Les incidents tels que les pannes de systèmes, les attaques par ransomware ou les violations de données constituent le risque le plus important dans le monde pour la deuxième fois consécutive.

Peter Braem, CEO, Cyber Security Management, évoque un « phénomène inédit ». Invité à l’occasion des 19^ème Trophées Decavi de l’assurance non-vie, le 26 avril 2023 au Docks Dôme à Bruxelles, il a évoqué devant les professionnels du secteur la réalité de ce « risque inassurable » selon l’expression de Mario Greco, le patron de Zurich Insurance, l’une des plus grandes compagnies d’assurance en Europe.

Dans le monde réel, l’assurance a su industrialiser ses modèles pour parvenir à couvrir à peu près tous les risques de façon acceptable pour l’assuré et rentable pour l’assureur. Et dans le monde numérique ? Les spécificités du risque cyber, fluctuant, insaisissable et potentiellement dévastateur, mettent le secteur au défi de se réinventer.

« Les spécificités du risque cyber, fluctuant, insaisissable et potentiellement dévastateur, mettent le secteur au défi de se réinventer, observe Peter Braem. Contrairement aux dommages corporels ou matériels, le risque cyber est une tache d’huile : il touche d’abord des systèmes informatiques, dont les dysfonctionnements affectent ensuite les opérations, ce qui, pour finir, peut nuire gravement à la réputation de l’entreprise et à ses ventes. »

Assureurs : évaluer, mitiger et gérer le risque cyber

Une première question est donc de savoir s’il faut assurer le risque cyber au-delà des seuls coûts de réparation IT. Une autre spécificité est que les victimes peuvent influencer la gravité du cyber-sinistre selon qu’elles prennent ou non des mesures adéquates -parmi ces mesures, le paiement des ransomwares ne manque d’ailleurs pas de faire débat. Enfin, évaluer, mitiger et gérer le risque cyber exige une expertise en sécurité numérique qui repose la question du rôle de l’assureur -qui s’appuie de plus en plus sur des expertises externes, incluant les agences de rating pour définir le niveau de risque encouru- comme celle de la maturité et des responsabilités de l’assuré.

« Ce sont toutes les structures de la société qui sont touchées, continue Peter Braem. Le secteur des soins de santé en est le plus bel exemple.  En Belgique, le nombre d’attaques a progressé de 78 % d’une année à l’autre, avec une moyenne de 1 795 tentatives d’intrusion par semaine, a chiffré Check Point. Et quand on sait qu’environ 30 % de toutes les données dans le monde sont actuellement générées par le secteur de la santé, on se rend compte de l’ampleur du problème… »

Santé, le secteur qui génère le plus de données

Si la cybersécurité dans le domaine de la santé est primordiale, c’est parce qu’une attaque informatique peut avoir des conséquences désastreuses pour les établissements : mise à l’arrêt du système d’information, risque de perte ou de vol des données des patients, déprogrammation ou report des interventions chirurgicales, réorientation des urgences vers d’autres centres hospitaliers… En plus de cela, l’image de l’établissement est profondément entachée, avec le risque que les patients engagent des poursuites judiciaires en cas d’utilisation frauduleuse de leurs données.

D’ici 2025, le taux de croissance annuel composé des données collectées pour le secteur de la santé devrait atteindre le chiffre record de 36 %. Cela signifie que le secteur de la santé génère des données plus rapidement que les secteurs de la fabrication, du divertissement et même des services financiers. 

Selon que vous soyez grand ou petit…

Assurer contre la cybercriminalité pourquoi pas, mais faut-il assurer le risque cyber pour tout type de victimes ? Les cyber-victimes peuvent être des individus, des petites entreprises ou des grands comptes. Une étude française rapporte que 87% des grands comptes sont assurés contre 8% seulement des plus petites entreprises. « La compréhension et la maîtrise des enjeux de sécurité numérique varient considérablement que l’on soit une grande organisation avec des services de sécurité structurés, financés et régulièrement audités, ou que l’on soit un plus petit acteur assez peu formé aux technologies de l’information et aux enjeux de sécurité, insiste Peter Braem. Comment dans ces conditions les assurer ? »

La question est globale. Le paysage de la cybersécurité est tout le temps en train de changer, mais il est évident que les cybermenaces deviennent plus sérieuses et se produisent plus fréquemment. Dans son intervention devant les assureurs, Peter Braem s’est encore attardé sur le secteur de l’automobile qu’il connait bien. « Contrairement à hier, où les voitures avaient besoin d’un conducteur et d’essence, les nouveaux véhicules pourraient bientôt être entièrement autonomes et communiquer avec d’autres. Si les avantages sont indéniables, pareille avancée technologique ouvrira la voie à une toute nouvelle génération de vulnérabilités et de défis que l’industrie automobile va devoir relever… et les assureurs devoir couvrir ! »

Dans leur forme la plus élémentaire, les véhicules connectés communiquent soit avec d’autres véhicules, soit avec d’autres dispositifs et systèmes. Ce faisant, des cybercriminels peuvent fort bien accéder aux systèmes critiques, comme le freinage, la direction et le moteur. Problème : une fois qu’un véhicule connecté a été piraté, les hackers peuvent se déplacer latéralement dans le système et attaquer potentiellement d’autres systèmes connectés. Et comme les véhicules connectés communiquent souvent entre eux, un attaquant qui obtient l’accès à un véhicule peut ensuite en attaquer d’autres.

Les véhicules électriques, déjà…

Sans entrevoir les véhicules autonomes, on peut déjà considérer le risque des véhicules électriques actuels qui embarquent des dispositifs électroniques et des systèmes réseau. Tesla, pour ne citer que cette marque, propose à cet égard des mises à jour logicielles régulières pour ses véhicules. Si l’avantage sur le plan des performances est indéniable, les risques de vulnérabilité n’en sont pas moins grands. Qu’il s’agisse d’un bloc de batteries, d’une borne de recharge payante ou de serveurs distants utilisés pour communiquer avec les véhicules, tous ces systèmes représentent des vulnérabilités…

« Un cybermalfaiteur qui s’en prend à ces systèmes peut réduire la durée de vie de la batterie d’un véhicule ou empêcher qu’il se recharge sur une borne publique. Il peut aussi prendre le contrôle de tout le véhicule par le biais du Wi-Fi. Les bornes de recharge publiques constituent un vecteur d’attaque particulièrement exposé. Elles peuvent être attaquées comme un distributeur automatique de billets. Ces sous-systèmes doivent être intégrés à la réflexion lors de l’élaboration d’un plan de cybersécurité pour l’industrie automobile. On l’a compris, tout reste à faire… »

Interview : Alain de Fooz – Photos : Pierre-Olivier Tulkens