L’invasion russe de l’Ukraine ravive les craintes des alliés de Kiev d’être victimes de cyberattaques provenant de Moscou. En effet, dans un monde digitalisé la plupart des Etats ont recours au piratage ou à l’espionnage informatique. Si le risque cyber est omniprésent à l’ère du numérique il l’est encore davantage par temps de guerre. Bien souvent se sont les entreprises qui en font les frais. Une situation qui remet sur la table, plus largement, la question de la couverture de ce danger économique par les compagnies d’assurances. Sur ce point « il y a un flou juridique » selon Philippe Cotelle, administrateur de l’AMRAE et Head of Airbus Defence and Space Insurance Risk Management.
Quelles sont les limites des assurances pour les entreprises en matière de couverture des cyberattaques ?
PC : Les assureurs sont confrontés aujourd’hui à un vrai problème, à savoir le risque systémique du cyberespace. Ce risque est lié à plusieurs sources ; les menaces peuvent venir d’un virus, de cyberattaques perpétrées par des hackers, des groupes mafieux ou bien par un Etat, dans le cadre d’un conflit international. Le challenge de l’assureur consiste donc à gérer ce risque systémique. Toutefois la tâche n’est pas aisée puisque le phénomène des cyberattaques vient totalement bouleverser le modèle des assurances. En effet, le principe de l’assurance repose sur le fait qu’une multitude d’assurés cotisent pour indemniser un sinistre. Or le schéma du risque systémique du cyber fait que sur un seul évènement, comme un piratage ou un virus, il peut y avoir une multitude d’assurés impactés. Ce qui entraine de la part du marché de l’assurance cyber un inconfort problématique.
En ce qui concerne le risque systémique causé par une situation de guerre, un certain nombre de décisions fortes ont été prises récemment, notamment vis-à-vis de l’affaire NotPetya. Ce logiciel malveillant avait infecté en 2017 plusieurs entreprises de différents pays, et en particulier le laboratoire Merck. Ce dernier a subi des pertes majeures du fait de cette attaque. Néanmoins l’assureur sollicité à l’époque avait refusé d’indemniser le laboratoire, sous prétexte que le piratage était un acte de guerre lié au conflit de 2014 entre la Russie et l’Ukraine. La décision de justice a finalement donnée raison à Merck. En effet, les contrats ne prévoyaient pas explicitement d’exclure les cyberattaques du service de couverture, si elles étaient liées à des situations de conflits. En réaction, les assureurs se sont donc empressés d’inscrire des clauses stipulant qu’ils ne couvriraient plus les actes de guerre cyber.
Comment est-il possible de prouver qu’un piratage est bien lié à un acte de guerre ?
PC : Sur ce point il y a un flou juridique en France. Le Haut Comité juridique de la place financière de Paris a publié un rapport le 28 janvier dernier, demandant une clarification du droit pour établir qui a la charge de la preuve. En clair, savoir qui doit démontrer que la cyberattaque est bien liée à un acte de guerre ou non. Le problème de cette zone grise est en fait celui de l’attribution de l’attaque. On peut donc comprendre l’assureur qui ne souhaite pas couvrir un risque démesuré, notamment si toutes les firmes d’un pays subissent un piratage. Et de l’autre côté on peut aussi entendre les préoccupations de l’assuré qui souhaite être dédommagé rapidement.
Pour l’heure, certaines compagnies d’assurances brandissent l’argument d’une suspicion de guerre pour éviter d’indemniser leurs clients. D’aucun demandent donc que le gouvernement devienne l’arbitre qui définira s’il s’agit ou non d’un acte de guerre. Une possibilité crédible puisque c’est l’Etat qui aiderait les assureurs à rembourser les victimes des cyberattaques si ces dernières sont avérées. Toutefois, encore faut-il pouvoir identifier la provenance d’une attaque. En effet, les pays passent souvent par des agences mandatées et les lignes de code sont fréquemment trafiquées. Il est parfois impossible de remonter jusqu’à l’origine du piratage. De plus, il faut noter que la majorité des cyberattaques identifiées, sont l’œuvre d’organisations mafieuses plutôt que des Etat. Ceux-là cherchent davantage à drainer des informations plutôt qu’à siphonner des fonds. Ce type de sinistre n’est donc pas assurantiel.
Au vu de ces quelques failles, est-ce pertinent pour une entreprise de se munir d’une assurance cyber ?
PC : Actuellement le cœur de l’économie française est à risque. Selon l’étude Lucy que nous avons conduite à l’AMRAE, l’écrasante majorité des startups, TPE ou PME ne sont pas assurées face au risque cyber. Tandis que parmi les grands groupes, 87% sont couverts. Or se sont les petites structures qui constituent la majeure partie du monde entrepreneurial du pays. Il est donc nécessaire que les entrepreneurs prennent conscience que toutes les firmes ont des vulnérabilités, et c’est bien normal. Néanmoins ils doivent se prémunir face au risque de voir leur messagerie bloquée ou leur site internet marchand en panne. Un piratage peut s’avérer fatale pour une entreprise de petite taille qui a peu de trésorerie et fonctionne en flux tendu. D’autant que les tarifs des assurances sont relativement abordables. Souvent la somme à investir correspond à seulement 1% de la somme globale à couvrir.
Sur cette question du manque de souscription aux assurances cyber il y a un véritable besoin de sensibilisation. Les entrepreneurs doivent parler entre eux au sein d’une tech ou d’un écosystème afin d’échanger des expériences. Ils doivent définir, avec leur expert financier, quelle couverture leur convient en fonction de leur secteur ou de leur activité. Par exemple il y a des MEDEF territoriaux qui peuvent envoyer gratuitement des risk manager épauler les dirigeants dans leur stratégie de cybersécurité. Enfin, avant de penser à l’assurance il faut surtout perfectionner la prévention. A ce titre, l’ANSSI a récemment publié.
