Assurance Cyber: un risque systémique est possible, analyse de la situation

Tous les risques ne comportent pas une composante systémique équivalente, et ce sont les risques cyber et climatique, réputés pour leur extrême complexité, qui y sont le plus exposés.

Pour le cyber, deux sources principales peuvent être à l’origine d’une potentielle corrélation des sinistres entre eux : les vulnérabilités affectant des technologies répandues et les sociétés hébergeant ou ayant le contrôle d’une partie du système informatique de nombreuses entreprises (MSP, MSSP).

Une panne chez un hébergeur peut affecter des milliers d’entreprises simultanément

Nous distinguons deux types d’hébergeurs ou de MSSPs.

Les hébergeurs locaux sont implantés sur des territoires ou spécialisés sur des secteurs d’activité spécifiques.

Les TPE et PME hébergeant leurs systèmes d’information chez un hébergeur local dépendent souvent fortement de ces partenaires qui pourtant disposent d’une posture de sécurité plus faible que les hébergeurs globaux.

On peut citer l’exemple de la cyberattaque sur l’hébergeur Coaxis, en décembre 2023, qui avait mis à l’arrêt des milliers de cabinets d’experts comptables.

Pour l’assureur, une manière d’atténuer ce risque est de diversifier son portefeuille par géographie et par activité, de manière à limiter l’exposition à une verticale donnée.

Les plus grands hébergeurs globaux comme AWS, Microsoft ou Google hébergent une partie des systèmes d'information de la majorité des entreprises au monde.

De même, les plus grands MSSPs ont accès au système informatique d’une immense quantité d’entreprises.

Dans un cas comme dans l’autre, une panne chez l'un d'eux peut affecter des millions d'entreprises simultanément.

Ce risque est certes atténué par la grande segmentation des data centers effectuée par ces acteurs dans chaque région du monde, ainsi que par l’extrême robustesse de leurs systèmes de sécurité, mais il n’est pas nul. L’exemple de la mise à jour défectueuse de Crowdstrike le 19 juillet dernier est criant.

Celle-ci a affecté 8,5 millions de machines Windows et a révélé l'ampleur de la dépendance des entreprises vis-à-vis de ces grands acteurs de la sécurité informatique. La gestion de la dépendance à ces solutions globales reste un problème encore ouvert pour les assureurs cyber.

Les vulnérabilités partagées : une menace pour l’économie mondiale

En estimant la probabilité d’occurence et l’impact en résultant, le principal risque systémique reste cependant ailleurs.

Un certain nombre de technologies sont partagées par des millions d’entreprises et organisations au niveau mondial. Ainsi, une seule vulnérabilité sur une seule technologie peut mettre à mal des millions d’entreprises si elle est exploitée efficacement par un groupe malveillant. Entre la détection et la résolution de ces failles, une fenêtre de vulnérabilité persiste, exposant les entreprises à des attaques ou à des dysfonctionnements.

Plusieurs événements de ce type se sont produits dans les dernières années : le ransomware WannaCry en 2017, la campagne Esxiargs en 2023 ou encore la faille OpenSSH en 2024, illustrent le potentiel destructeur des vulnérabilités techniques à l'échelle mondiale.

Les solutions pour les assureurs : limiter le risque ou limiter l’exposition

Pour limiter leur exposition financière, les assureurs disposent de plusieurs leviers, chacun présentant des avantages mais aussi des inconvénients, notamment pour les entreprises assurées.

Un premier levier d’action est de définir clairement le risque systémique dans les textes contractuels afin de le sous-limiter et réduire ainsi l’exposition financière de l’assureur - que ce soit en cas de défaut d’hébergeur ou de vulnérabilité partagée.

Certains assureurs vont jusqu’à une sous-limite à 50% et une quotité non garantie à 50%. Mais cela est au détriment de l’assuré, qui, même s’il n’est pas responsable du sinistre systémique, se retrouve avec une garantie dégradée et peut pâtir d’un manque de clarté au moment de la souscription ou pendant la gestion du sinistre.

Un second levier consiste à utiliser les définitions contractuelles pour encadrer la couverture d’assurance. Deux notions principales sont concernées : la définition du système d’information de l’assuré, incluant ou non une partie externalisée (sur le Cloud ou non), et la définition de l’élément déclencheur. Si la partie externalisée ou Cloud n’est pas couverte, l’assureur limite drastiquement sa couverture et son exposition.

Mais là encore, si la notion d’externalisation n’est pas extrêmement claire pour l’assuré, celui-ci peut être amené à porter une partie du risque sans même le savoir.

Un troisième levier consiste à adopter une approche proactive du risque en notifiant l’assuré des vulnérabilités détectées sur son système d’information et en apportant un accompagnement personnalisé pour la mise en place de correctifs le plus rapidement possible. Ici, l’assureur dépend entièrement de l’assuré et de sa capacité à corriger rapidement la vulnérabilité détectée. Il est également possible pour l’assureur de surveiller les hébergeurs utilisés par ses assurés et chercher - au moment de la souscription - à diversifier les profils technologiques de son portefeuille d’assurés.

Aligner les intérêts entre assureurs et assurés

Même si les deux premiers leviers d’action font sens d’un point de vue de la gestion du risque côté assureur, il est possible de ne pas les appliquer et de se concentrer sur le levier technologique. En effet, les risques de mauvaise lisibilité et les inconvénients pour les assurés semblent trop importants pour être mis en place à court ou moyen terme. A contrario, une approche proactive du risque permet d’aligner les intérêts de l’assureur et des assurés, et de les faire agir ensemble pour éviter les conséquences d’un futur incident cyber.

La gestion du risque systémique dans le cyberespace nécessite une vigilance accrue des niveaux de sécurité des systèmes d’information, une collaboration étroite entre assureurs et assurés et des stratégies de gestion des crises bien définies. En tant qu’acteur de l’assurance, il est de notre devoir de nous adapter en permanence pour protéger nos assurés et limiter notre propre exposition au risque.

art LES ECHOS 12 09 2024