lundi 17 mars 2014

Cyber-assurances : le jeu (dangereux) du tigre et de la souris

Fin février, la BBC révéle (1) que la célèbre place de marché d'assurances londonienne Lloyd's refuse d'assurer certaines entreprises du secteur de l'énergie contre les risques liés aux cyberattaques. Les assureurs estiment en effet que ces entreprises souhaitent faire assurer des systèmes d'information vulnérables, les mesures de cyberdéfense et de cybersécurité étant jugées faibles et insuffisantes. Une décision qui, si elle pourrait apparaitre comme étonnante de prime abord, révèle, en réalité, l'attitude parfaitement rationnelle des assureurs.


Cette attitude souligne l'irresponsabilité et le court-termisme de certaines entreprises qui espèrent ainsi échapper - pari risqué ! - à de potentielles conséquences graves en transférant les risques sans les traiter ni les réduire. Même si le marché des cyber-assurances (2) peine à décoller, de nombreux assureurs proposent dorénavant une offre complète et adaptée aux spécificités "métier". Nombre d'entreprises ont donc bien saisi l'intérêt qu'elles avaient à s'assurer contre le risque cyber, souvent au détriment des investissements internes nécessaires.

La raison la plus plausible à ce comportement est une insuffisante maturité en termes de pratiques et une sous-estimation caractéristique du risque cyber et de ses conséquences. L'actualité récente en France est à ce titre éclairante (3) car elle souligne que la sensibilisation, les recommandations et les incitations, durant ces dernières années, n'ont eu qu'un effet limité. De la prise de conscience aux paroles puis aux actes, la prise en compte sérieuse et responsable des risques d'origine cyber s'avère timide et parcellaire.

Pour revenir à l'article initial de la BBC, l'exemple concerne un secteur, celui de l'énergie. Ce secteur est représentatif des risques liés aux systèmes industriels, de plus en plus dépendants et interconnectés aux systèmes d'information traditionnels. C'est cette perméabilité qui augmente fortement la surface d'exposition de cet écosystème à des cyberattaques exploitant les vulnérabilités "classiques" (4). Avec des impacts potentiels catastrophiques sur la continuité des activités économiques et industrielles et in fine le fonctionnement de la société voire la mise en danger de la population.

Il pourrait cependant paraître osé d'extrapoler à l'ensemble des secteurs des pratiques et une maturité a priori différentes. Néanmoins, ce n'est faire insulte à personne que de constater (5) que le niveau général de cybersécurité est dramatiquement faible. La question qui se pose alors est de savoir s'il faut légiférer pour imposer des mesures que les acteurs économiques ne sont pas capables de prendre par eux-mêmes ? 

La question reste, pour l'instant, ouverte et ne doit surtout pas être réduite à une question de doctrine. Car il ne serait pas étonnant d'assister, à moyen terme, au phénomène suivant : des acteurs économiques privés, les compagnies d'assurance, n'assurant qu'avec une extrême précaution le transfert des risques venant d'autres opérateurs économiques privés, les entreprises. Pour ce faire, les assureurs pourraient élaborer un éventuel système de notation cyber similaire à celui des agences de notation concernant les créances (des États, des entreprises). En fonction de la notation, les primes d'assurance varieraient de faibles à extrêmement élevées. 

Ce dernier cas pourrait être dissuasif si, par exemple, les investissements en matière de cybersécurité s'avéraient, à moyen terme, moins coûteux pour l'entreprise que de s'assurer contre les risques cyber. Finalement, ce système pourrait potentiellement être un levier intéressant pour venir contraindre des acteurs économiques rétifs à toute tentative de régulation. L'initiative de la France au travers de la déclinaison du volet cyber de sa loi de programmation militaire et, par exemple, l'évolution du systèmes de cyber-assurances au Royaume-Uni seront intéressantes à suivre et à comparer dans les prochaines années.


(2) http://si-vis.blogspot.fr/2011/07/le-pactole-des-cyber-assurances.html 
(3) voir les (futures) obligations cyber inscrites dans le chapitre IV de la loi de programmation militaire 2014/2019
(4) des technologies de l'information et de la communication
(5) par les autorités et de nombreux praticiens

2 commentaires:

newsoft a dit…

"le niveau général de cybersécurité est dramatiquement faible"

Faut-il comprendre que la sécurité est un échec ? ;)

newsoft a dit…
Ce commentaire a été supprimé par un administrateur du blog.