Les conditions d'assurabilité des cyber-risques

Ali Jaghdam
Université Paris-Dauphine

La notion de l'assurabilité est immédiatement évoquée dès qu'il s'agit de risques nouveaux ou atypiques. Les cyber-risques ont des particularités qui les rendent inassurables aujourd'hui par les méthodes actuarielles traditionnelles. Les liens entre les assureurs, les assurés, les prestataires de services de cyber-sécurité et l'État sont appelés à jouer un rôle crucial pour garantir l'assurabilité des cyber-risques. Définir les rôles de chacun de ces acteurs et surtout leur complémentarité peut permettre de repousser les frontières de la cyber-assurabilité. C'est là certainement un enjeu très important pour les assureurs et pour la protection du patrimoine informationnel des entreprises.

 Les cyber-risques : de l'« ado pirate » à la « cyber-mafia »

Plus qu'un choix, l'utilisation des technologies de réseaux d'information constitue presque une nécessité pour la survie des entreprises devenues ainsi dépendantes de leurs systèmes informatiques (1). Mais cette nouvelle infrastructure n'est malheureusement pas sans risques. Ces dernières années, les entreprises font face à différents types de cyberrisques (2) en même temps. Les plus médiatisés sont les attaques distribuées animées, généralement, par des amateurs qu'on qualifie d'« ados pirates » motivés essentiellement par le besoin de reconnaissance sociale, le défi intellectuel de l'exploit informatique, ou par le simple jeu. Or, de nos jours, il n'y a plus vraiment d'attaque de masse ni d'attaque bruyante (pas de virus ou de ver ayant entraîné une alerte notoire). Il faut s'attendre à des attaques de plus en plus pernicieuses, discrètes et sans doute parfois difficilement décelables (voire non détectées dans le temps) à l'encontre d'une seule entité ou d'un seul groupe d'individus ciblés. Ces attaques « chirurgicales », souvent rémunératrices, ont tendance à causer des pertes considérables à l'économie (3). Ces cybercriminels dirigent une offensive informatique contre les clients des principales banques dans le monde (vol d'identifiants bancaires des clients, de numéros de cartes de crédit...). Les réseaux de transport ou d'alimentation en énergie, tout comme les systèmes bancaires, seraient menacés à terme. On peut imaginer l'ampleur des conséquences d'une paralysie d'un aéroport international pendant quelques heures (perturbation du trafic aérien –  voire crashs –, annulations de vols, retards...). Les circuits électriques, tout comme les télécoms, seraient déréglés. Et pourquoi ne pas envisager la perte de la mainmise sur les équipements nucléaires ?

 Aux frontières traditionnelles de l'assurabilité des cyber-risques

Aux États-Unis, seulement 2 % des pertes liées à la cybercriminalité sont couvertes par l'assurance et moins de 30 % des entreprises s'assurent contre les cyber-risques. Le constat est que ceux qui achètent des polices spécifiques de cyberassurance sont des clients sensibles : les banques ou les établissements financiers. Pour les garanties de responsabilité civile, sont concernés les professionnels de l'informatique mais aussi les utilisateurs d'Internet (Betterley Risk Consultants, Inc., 2006). Le marché de cyberassurance français, quant à lui, affiche un retard remarquable, en matière de production de contrats spécifiques aux cyber-risques, par rapport aux pays scandinaves, à l'Allemagne, au Royaume-Uni et aux États-Unis. S'il est vrai que le marché de cyber-assurance affiche un potentiel de développement très important (aux États-Unis, le montant total des primes de cyberassurance a quadruplé depuis 2001, atteignant environ 500 millions de dollars en 2008), l'assurabilité des cyber-risques reste fortement limitée par rapport aux autres branches d'assurance.

Certains ont longtemps prétendu que l'assurabilité d'un risque dépendait d'un certain nombre de caractéristiques objectives qui devaient être toutes réunies pour que l'assureur puisse appliquer le principe de mutualisation en s'appuyant sur la loi des grands nombres. On dit, par exemple, que ce sont des risques futurs, aléatoires, indépendants. Pour tenir compte du contexte réglementaire et économique, on ajoutera que la couverture de ce risque n'est pas interdite par la loi, que la perte maximum doit être limitée, que les événements ne doivent pas être trop rares, que le niveau de la prime ne doit pas être trop élevé, qu'il ne doit y avoir ni aléa moral, ni anti-sélection, etc. La liste peut s'allonger, sans que l'on ait la certitude qu'elle soit assez complète pour couvrir tous les cas nouveaux qu'on pourrait lui soumettre.

Ces limites de l'assurabilité, que l'on pourrait qualifier de traditionnelles, sont repoussées grâce à des procédés de nature à permettre une meilleure viabilité du contrat d'assurance (franchises, plafonnement des indemnisations, coassurance, réassurance, transactions sur les marchés financiers...). Si les techniques classiques de l'assurabilité sont impuissantes à tirer le meilleur parti du principe de mutualisation à l'aide de contrats d'assurance, l'évolution récente des risques pose de nouveaux problèmes d'assurabilité qui tiennent à la nature même des risques dont on souhaite se protéger.

En effet, même en relâchant certains critères requis par l'approche traditionnelle, les cyber-risques restent théoriquement en dehors du champ de l'assurable. Ils sont imparfaitement diversifiables (4). Leur interdépendance engendre un risque de cumul « non linéaire » dans le portefeuille de l'assureur du fait de l'interconnexion complexe des systèmes d'information. En effet, les virus informatiques ne se transmettent pas d'individu à individu à la différence des virus biologiques, mais à partir d'un seul nœud à n ordinateurs de x entreprises ou individus dans le monde et en quelques heures. En outre, le caractère transfrontalier de la cybercriminalité rend imparfaite toute diversification géographique par la réassurance (5). Par ailleurs, il est difficile, voire impossible, d'en définir la loi de probabilité de manière objective, faute de données historiques permettant à l'assureur d'observer la fréquence et l'intensité de ces risques, en raison essentiellement de l'apparition récente du phénomène de la cybercriminalité et du caractère immatériel des conséquences. Ces risques évoluent selon une dynamique propre aux technologies de l'information et de la communication, et la responsabilité des hommes est plus directement impliquée dans leur survenance (6). Aussi l'assureur est-il confronté au problème de l'évolution permanente des technologies et de la transformation continuelle des dangers. Les catégories de risques n'ont donc qu'une valeur limitée dans le temps. Ainsi, l'hypothèse de continuité – c'est-à-dire, ce qui était vrai hier l'est encore aujourd'hui – est inapplicable au domaine des technologies de l'information. Il est pratiquement impossible de faire des pronostics sur la façon dont les risques évolueront puisque même des changements minimes peuvent avoir des conséquences incalculables (7). Nous ignorons quels virus seront actifs et quelles vulnérabilités apparaîtront à l'avenir.

C'est donc le principe de mutualisation lui-même qui est mis en cause. Il en résulte que, de par leur caractère, ces risques doivent entraîner un véritable changement dans la nature des mécanismes assuranciels.

 Comment rendre les cyber-risques assurables ?

Plutôt que d'allonger indéfiniment la liste des critères d'assurabilité visant à couvrir tous les cas possibles d'un point de vue d'un assureur potentiel (approche traditionnelle d'assurabilité), nous préconisons une approche économique qui, par l'analyse distincte des engagements de l'assureur et de l'assuré, mais aussi des pouvoirs publics, permet de déterminer les conditions auxquelles, au cas par cas, l'assureur et son client potentiel peuvent s'entendre sur un transfert de risque. Cette approche vise à responsabiliser l'assuré potentiel dans un contexte d'incertitude, provisoirement non mesurable par l'assureur.

Selon cette approche, les conditions d'assurabilité se réduisent à l'acceptation par l'assuré de la prime proposée par son assureur. Autrement dit, la question centrale devient alors : comment rendre le prix du transfert proposé par l'assureur« raisonnable » aux yeux des assurés et non plus seulement du point du vue de l'assureur ?

Le prix d'un bien n'est pas acceptable dans l'absolu. Il est confronté à l'utilité de ce bien et au revenu du consommateur. Ce raisonnement se traduit par un certain niveau d'aversion au risque tout à fait pertinent dans le cas de la demande d'assurance. D'un autre côté, lorsqu'il accepte de garantir un risque, l'assureur a besoin de savoir quels sont les montants qu'il s'expose à devoir payer. On considère qu'un risque n'est pas économiquement assurable si, pour que le contrat soit acceptable par l'assuré, l'assureur doit abaisser le montant de la prime à un niveau qui compromet sa solvabilité. En effet, celle-ci ne concerne pas seulement le résultat d'exploitation de l'assureur ou la rentabilité des capitaux investis par ses actionnaires ; la solvabilité de l'assureur est aussi indispensable à l'assuré pour qu'il s'engage, en confiance, dans le contrat qui lui est proposé. En souscrivant une assurance, l'assuré transfère un risque sur l'assureur, mais il en prend un autre : celui que l'assureur soit défaillant lors de la survenance du dommage redouté. L'intérêt de l'assuré est sans doute que le montant de la cotisation soit le plus faible possible, mais il est aussi que les termes du contrat soient économiquement viables, de telle sorte que les garanties souscrites soient effectives le moment venu.

La littérature économique de l'assurance montre que l'incitation à l'assurance peut être influencée par la manipulation de trois variables : la diminution de la cotisation d'assurance; la suppression de la franchise; l'accroissement de l'aversion au risque des assurés.

Diminuer la cotisation ne doit pas compromettre la solvabilité de l'assureur, mais il peut accepter le contrat si l'assuré potentiel prend toute mesure propre à réduire la probabilité de réussite des attaques. La deuxième possibilité est risquée, en raison de l'aléa moral important dans le contexte de la cybercriminalité. En effet, le fait d'être couvert sans franchise peut amener l'assuré à modifier son comportement (non-respect des mesures de sécurité ou encore réduction de ses dépenses de prévention en cybersécurité). Sachant qu'il sera dédommagé totalement en cas de sinistre, il peut, par un comportement délibéré, augmenter sa probabilité de sinistre. Enfin, l'aversion au risque peut résulter d'un effort de modification de la perception générale des risques de la cybercriminalité. Plusieurs stratégies sont à la portée des assureurs et des pouvoirs publics pour réduire la probabilité de réussite des attaques et pour accroître l'aversion aux cyberrisques des entreprises.

 Réduire la probabilité de réussite d'une attaque

La probabilité de réussite d'une attaque est fonction de trois éléments: la probabilité de l'attaque, la vulnérabilité du système d'information et les dépenses de sécurité engagées pour se protéger d'éventuelles exploitations de cette vulnérabilité. Elle est fonction croissante de la probabilité d'attaque et de la vulnérabilité, et décroissante de l'effort de l'investissement en cybersécurité.

Réduction de la probabilité d'attaque

Avant de parler de réussite, on devrait penser à la probabilité d'attaque en tant que telle. Celle-ci ne dépend que de la volonté de nuire des cybercriminels. Si cette volonté est alimentée, comme c'est le cas en général, par la taille des entreprises et par l'importance des secteurs d'activité, elle pourrait être dissuadée par un renforcement des répressions judiciaires. La responsabilité des pouvoirs publics se trouve ici directement impliquée dans la mesure où ils peuvent, par ce moyen, diminuer la fréquence des actes de cybercriminalité. Le monde cybercriminel tire parti de l'exterritorialité de l'Internet et de l'existence de « paradis numériques » permettant aux criminels d'héberger des serveurs, de diffuser des contenus illicites ou de réaliser des actions répréhensibles en toute impunité. Une harmonisation semble donc nécessaire, et une véritable coopération internationale doit s'engager pour préciser clairement les responsabilités des acteurs et pour pallier les insuffisances en termes de parades juridiques, afin de réduire la fréquence des actes de cybercriminalité.

Réduction de la vulnérabilité des systèmes d'information

Si les assurés ne peuvent pas agir contre les agresseurs pour la simple raison qu'ils ne les connaissent pas, ils sont toutefois responsables de la « réponse » de leurs systèmes d'information aux différentes intrusions. En effet, la vulnérabilité d'un système d'information dépend, en pratique, des besoins professionnels des entreprises (des usages) et non pas de la technologie de connectivité choisie. Ainsi, les entreprises doivent faire le « bon usage » de leur système d'information en évitant quelques comportements irrationnels ou moutonniers. Les responsables doivent mettre en place une charte d'usage et bonnes pratiques des systèmes d'information dans le cadre d'une politique globale de sécurité au sein de leur entreprise. Pour cela, il faut mettre en œuvre des dispositions réglementaires internes, ainsi qu'une action d'éducation et de formation du personnel en matière de sécurité des systèmes d'information.

Par ailleurs, les fournisseurs des équipements et services de connectivité se trouvent aussi impliqués quand la qualité de leurs produits est mise en cause.

Augmentation de l'effort d'autoprotection des entreprises

Au moins trois actions sont nécessaires pour pousser les entreprises à se protéger de manière suffisante contre les cyber-risques.

Premièrement : bâtir la confiance des entreprises à l'égard du contexte de sécurité des réseaux. Les technologies changent rapidement, et les produits et services de cybersécurité sont souvent bien moins efficaces que ne le promet la publicité qui en est faite, ce qui pourrait significativement affecter l'effort d'autoprotection des assurés. Ceuxci souhaitent normalement pouvoir disposer de produits de sécurité dans lesquels ils peuvent avoir confiance (8) et qui répondent à leurs besoins de sécurité La certification offre un élément de réponse au premier point et la qualification au second.

Deuxièmement : renforcer les normes de sécurité. La robustesse d'une chaîne de sécurité est tributaire de son maillon le plus faible. Le système d'information d'une entreprise peut être ce maillon faible, notamment en étant utilisé comme une passerelle pour des attaques sur des systèmes plus importants d'autres entreprises. Ainsi, même en admettant que la probabilité de réussite d'une attaque directe puisse être réduite par l'investissement en cyber-sécurité d'une entreprise, celle-ci ne peut en aucun cas réduire la probabilité des attaques indirectes qui dépendent uniquement de l'effort d'autoprotection des autres entreprises connectées sur le même réseau – par exemple ses fournisseurs et ses clients. Ainsi, la sécurité des systèmes d'information s'apparente à un bien public, et le problème du passager clandestin se pose aussitôt. L'État se trouve là encore impliqué dans. L'exigence, de sa part, d'un minimum d'autoprotection et d'une normalisation de la sécurité des systèmes d'information pourrait garantir un niveau de protection satisfaisant.

Enfin, de leur côté les assureurs doivent maintenir un partage raisonné de la charge des pertes potentielles avec les assurés par la fixation des franchises (9) (même si ce n'est pas vraiment nécessaire en termes de capacité) et par le plafonnement des indemnisations, pour inciter les assurés à maintenir le niveau minimum de sécurité souhaité. Les assureurs laissent ainsi l'assuré assumer sa part de risque de telle façon que le sinistre soit aussi pour lui une perte financière : il veillera ainsi plus sérieusement à l'éviter. Les assureurs peuvent également chercher à contrôler régulièrement les assurés pendant la durée du contrat. Une coopération entre assureurs et spécialistes de sécurité est nécessaire pour faciliter le suivi des assurés dans leur politique de sécurité, voire exiger qu'ils recourent aux services d'un spécialiste compétent.

 Accroître l'aversion aux cyber-risques

L'augmentation de l'aversion aux cyber-risques consiste à s'efforcer de modifier la perception par les entreprises des risques encourus et à mieux leur faire prendre conscience des conséquences économiques d'une absence de couverture contre la cybercriminalité. Il faut sensibiliser les entreprises à la cybercriminalité et médiatiser les sinistres. Le partage et la divulgation de l'information sur l'état de sécurité, les incidents subis, les montants des pertes, etc. augmentent remarquablement le degré d'aversion au risque. Les entreprises peuvent bénéficier d'un « effet direct » de la divulgation d'information sur la demande de cyber-assurance et d'un « effet stratégique » sur les prix. Des centres de collecte d'informations, à l'instar du Cert (Computer Emergency Response Team), doivent être mis en place partout dans le monde. Cela permet de réduire les incertitudes et de mieux faire connaître les cyber-risques par tous les acteurs économiques.

Certains contrats d'assurance peuvent être utilisés comme des produits d'appel pour d'autres risques, pour lesquels une extension de garantie est annexée. L'aspect commercial est fondamental et de lui dépend le succès de l'offre : les intermédiaires (agents ou courtiers) ou les sociétés d'assurances elles-mêmes peuvent, par une persuasion individualisée et par une publicité efficace, susciter l'acceptation des avenants.

Quant aux pouvoirs publics, ils sont les mieux placés pour obliger les entreprises à communiquer et à partager leurs expériences de sécurité. Ceci pourrait changer la perception générale de la cybercriminalité par le monde professionnel. Il paraît souhaitable à cet égard de créer une obligation de divulguer les incidents d'atteinte à la sécurité.

Notes


1. Selon une étude du Clusif (2006), 97 % des entreprises en France sont fortement dépendantes des nouvelles technologies de l'information et de la communication. 60 % d'entre elles possèdent un site Internet. L'interconnexion des systèmes d'information est devenue une des infrastructures indispensables pour toute économie, comme pour les autoroutes ou les aéroports...

2. On entend par « cyber-risques » les risques informatiques liés à l'usage des réseaux d'information.

3. Bien que le chiffre noir de la cybercriminalité soit difficile à appréhender, la forte croissance du marché de la sécurité témoigne bien de la gravité de ses conséquences économiques.

4. La diversification des risques est la compensation statistique par la loi des grands nombres. Si les risques individuels sont corrélés entre eux, le fait de les mettre en pool ne conduit pas à leur diversification, mais au contraire à leur addition.

5. En effet, l'interconnexion des systèmes d'information au niveau mondial via l'Internet, contrairement aux autres risques géographiquement dispersés (catastrophes naturelles), rend la cybercriminalité transfrontalière et le monde entier devient une zone de cumul. Les mécanismes de la réassurance restent alors limités et nécessitent l'intervention de l'État comme un réassureur de dernier recours ou par l'octroi de subventions aux (ré)assureurs.

6. En effet, le fait déclencheur du sinistre est contrôlé par l'être humain sans aucune intervention naturelle à la différence des catastrophes naturelles. Aussi l'aspect stratégique de la cybercriminalité (de l' « ado pirate » à la « cyber-mafia ») augmente-t-il le degré d'incertitude sur les probabilités de survenance des attaques.

7. Une étude menée par le Computer Security Institute (CSI) avait révélé une baisse des dommages liés au cybercrime en 2008. Aujourd'hui, le cabinet d'analyse Gartner conteste ces conclusions.

8. Certaines entreprises conditionnent l'achat de ces produits de sécurité à leur évaluation par des organismes de certification agréés.

9. L'assureur peut augmenter le montant de la franchise pour inciter l'assuré à améliorer la prévention (on parle de « franchise de moralisation »).