Nous n’en sommes qu’à l’aube des menaces que le cyberrisque fait planer sur nos sociétés, nos citoyens, nos entreprises, nos économies, nos institutions. 100 milliards de dollars : c’est le coût du cybercrime l’an dernier pour les seuls Etats-Unis, là où les attaques contre Sony, Ashley Madison ou Premera Blue Cross ont fait l’actualité. Identités volées en masse, documents bancaires exploités, secrets commerciaux et brevets piratés, systèmes de sécurité « hackés », défenses militaires et réseaux vitaux d’électricité ou d’eau immobilisés : nous sommes tous vulnérables, et le serons de plus en plus à l’avenir. À nous d’apprendre à nous défendre, vite et bien.
Il n’y a pas de meilleur baromètre de la réalité des risques que l’assurance. La Lloyds britannique a modélisé des scénarios-catastrophes, dont celui – évoqué par le président Obama – d’une attaque immobilisant 70 centrales électriques du réseau de la côte Est des Etats-Unis, pour un coût pouvant atteindre 1.000 milliards de dollars. Au moment où les premiers détournements à distance de véhicules ou d’armes apparaissent, le premier réassureur mondial, Swiss Ré, fait de l’Internet des objets un risque clef, à l’horizon de trois ans.
Le cybercrime parvient techniquement à voler les informations confidentielles sur des millions de citoyens, pour les revendre ou obtenir des rançons colossales en menaçant de les diffuser.
Les Etats, l’Union européenne, l’OCDE sont conscients de cette menace. En 2013, l’UE l’identifiait dans une série de directives visant à organiser une collaboration policière, judiciaire, technologique et politique, distinguant les différents types d’infractions pour dessiner une législation efficace.
Aujourd’hui, l’essentiel du jeune marché de l’assurance contre le cyber-risque est américain : sur 2 milliards et demi de dollars de contrats spécifiques, les Etats-Unis comptent pour 2,1 milliards de dollars de primes. Ce déséquilibre est toutefois en train de s’atténuer. Les assureurs européens et français travaillent pour apprécier la nature des risques et en évaluer des dommages dont le montant a doublé chez nous en deux ans. Leur objectif est d’y répondre du mieux possible et, autant que nécessaire pour leurs assurés, par des solutions spécifiques et personnalisées.
Pour apporter cette protection à nos entreprises et nos citoyens, plusieurs conditions existent. Une connaissance rapide et réactive d’une situation en permanente évolution est indispensable. On ne peut en effet assurer que ce sur quoi l’on dispose de données fiables. Seconde condition, des conduites responsables. Les assureurs doivent être associés à la création et la pratique de programmes de prévention. Des conduites individuelles naïves aux « trous béants » existant dans trop de structures informatiques, tout doit être passé au crible d’un audit de sécurité qui encouragera des pratiques positives. A cet égard, le rôle de l’éducation est fondamental. Les programmes d’instruction civique devraient former autant les enfants au cyberrisque qu’à savoir traverser dans la rue.
Enfin, nos industries comme nos dirigeants qui réalisent l’ampleur du danger, doivent s’y préparer. L’Association française de l’assurance a lancé une commission qui réunit tous les assureurs de la place pour appréhender l’impact de la révolution numérique sur notre secteur et mieux anticiper le cyberrisque.
Aucune technologie ne s’est propagée avec une telle vitesse depuis plusieurs siècles. Raison de plus pour que le progrès numérique, porteur de tant de bénéfices pour notre développement, soit traité avec autant de précautions que s’il s’agissait de la découverte du feu ou de l’électricité.
Bernard Spitz
Bernard Spitz est président de l’Association française de l’assurance