La cyber est-elle assurable ?
14 déc. 2021 - 11:01,
Tribune
- Cédric CartauLionel Prades, responsable des risques numériques de Sham et intervenant bien connu dans le petit milieu de la cyber en santé, a commencé par poser les bases de ce qui est assurable : l’aléa et la mutualisation. D’une part, un risque doit être aléatoire : tout risque dont la survenance est certaine (probabilité = 1) ne peut pas être assuré. D’autre part, le risque ne doit pas pouvoir survenir en même temps au sein de l’ensemble de l’écosystème, sans quoi le principe de mutualisation ne peut pas jouer : si x % des clients assurés connaissent un sinistre chaque année (x étant bien entendu largement inférieur à 100 %), les clients non touchés payent pour les premiers, mais si tout le monde est touché en même temps, l’assureur met tout simplement la clé sous la porte. On verra plus loin que ce principe de mutualisation, considéré du point de vue de l’assureur, a des impacts, et non des moindres, sur certaines tendances de fond de l’IT.
Un point important : alors que les RSSI « pensent » dans les termes du fameux triptyque DIC (Disponibilité, Intégrité, Confidentialité), les assureurs ont une classification assez différente : ils parlent de sinistre d’origine volontaire ou non, de perturbation d’activité, de compromission de données, etc. C’est somme toute logique, puisque le point d’entrée de la réflexion de l’assurance (qui est en termes techniques un transfert de l’impact financier du risque) concerne les sommes que l’assureur devra débourser, et sa capacité à obtenir des tables de statistiques fiables sur ces sinistres.
L’intervenant entre ensuite dans la liste des services qui sont de facto assurables. On y trouve :
– la mise à disposition d’une assistance pendant le sinistre sur la recherche de la panne, la protection de base du SI, etc. ; logique, c’est déjà ce que font les assureurs dans les contrats de protection de l’habitation, on est en terrain connu ;
– la remise en état du SI ; cela nous parle, que l’on pense à la réfection d’un logement après une inondation ;
– l’assurance de perte d’exploitation ; si l’on pense aux couvertures classiques du risque incendie pour les entreprises, on est encore dans le cœur de métier de l’assureur ;
– l’assurance vol ; si c’est encore une fois le cœur de métier de l’assurance, la difficulté va consister à estimer le coût du vol d’un actif immatériel : autant se faire chiper des PC on voit, mais une DB patients ? ;
– l’indemnisation du préjudice de tiers (préjudices financiers et moraux).
Il faut toutefois remarquer que les préjudices corporels consécutifs à un sinistre numérique sont en principe inclus dans la RC (responsabilité civile) des contrats de base des établissements de santé. Un autre point de vigilance concerne la classification des assureurs relative au sinistre (qui peut être matériel ou immatériel, que l’on pense à un incendie dans un datacenter ou à une attaque en cryptolocker) et aux éléments consécutifs de ce sinistre (les préjudices des tiers, qui peuvent aussi être matériels ou non) : le discours devient vite compliqué, et une petite matrice explicative ne serait pas du luxe. Par exemple, une RC « classique » ne pourrait pas couvrir la réparation matérielle consécutive à un préjudice immatériel.
Lionel Prades termine enfin par ce qui est non assurable – ou en passe de le devenir. Les sanctions juridiques ne sont pas assurables, ce qui est logique (essayez un peu d’assurer vos amendes de stationnement !). Les rançons, qui un temps ont fait partie des prestations de certains assureurs, sont progressivement en train de disparaître : on peut ergoter pendant des heures, mais ce type de prestation est fondamentalement malsain à grande échelle puisqu’il alimente la bête (sans juger bien sûr les assurés qui se trouvent à un instant t dans une situation compliquée). Enfin, et c’est une grosse surprise, les infrastructures hautement mutualisées ne le sont pas – ou vont bientôt ne plus l’être – du fait du principe de mutualisation précédemment évoqué : si un seul opérateur de télécom ou un seul datacenter couvre tout le territoire, la défaillance de ces derniers entraîne de facto la banqueroute de l’assureur.
S’il y a deux éléments à retenir de cette intervention très dense (dont je vous conseille le visionnage), c’est que la tendance de fond de l’IT de tout rassembler dans des datacenters énormes vient en frontal avec les objectifs des assureurs, et que les éléments de risques et de conséquences nécessitent une véritable ingénierie de contrat. Sur le premier point, on pourra toujours soutenir que les assureurs ne connaissent rien à l’IT, la critique serait facile. Personnellement, je serais un peu plus prudent que ce genre d’appréciation à l’emporte-pièce : l’assurance existe depuis au moins huit siècles[2] – à la différence de l’IT – et sera toujours là dans huit siècles. Rien n’est moins sûr pour ce qui concerne l’IT. L’IT a donc forcément des choses à apprendre…
Il semble que le marché de l’assurance cyber décollera si les assureurs sont capables d’apporter des réponses aux éléments suivants :
– la capacité à auditer rapidement un SI pour en estimer le niveau de risque ; ce point est particulièrement complexe ;
– la capacité à collecter des bases d’incidents suffisamment larges pour disposer de statistiques exploitables ; c’est le cœur de métier de l’assureur ;
– la capacité à découper l’offre ou à la bundliser pour coller aux besoins de clients forcément hétérogènes ; à titre personnel, j’ai de sérieux doutes sur l’assurance de pertes d’exploitation relatives à un sinistre cyber (très difficiles à estimer), mais je suis très attentif aux prestations d’assistance, d’indemnisation de tiers, etc.