Un dirigeant d’un des plus grands groupes d’assurance au monde déclarait récemment au Financial Times que les coûts induits par les cyberattaques dépassent désormais la compétence d’un assureur. Il appelle à l’intervention des Etats, au travers de partenariats public-privé, financés donc par les impôts des contribuables.
L’année 2022 a été secouée par des hacks majeurs en série, orchestrés par des groupes de pirates plus ou moins flamboyants, comme Lapsus$, et même parfois liés à des Etats. A chaque fois, ce sont des millions, voire des milliards de dollars de pertes, d’expertise et d’investissements qui sont menacés. Et à chaque fois se pose la question du coût de ces hacks.
Mais les choses pourraient devenir encore plus compliquées dans les années à venir. Selon le Financial Times, les cyberattaques vont venir impossibles à assurer, ou plutôt leurs conséquences et multiples ramifications. « Ce qui va devenir inassurable, c’est le cyber. », déclarait Mario Greco, directeur général de Zurich Insurance Group, une des plus grandes compagnies d’assurance européennes, dans une interview au quotidien économique. « Que se passe-t-il si quelqu’un prend le contrôle de pans vitaux de notre infrastructure, pour quelles conséquences ? », lâchait-il.
Les cyberattaques portent de plus en plus sur des infrastructures dites critiques, comme les systèmes de pipelines aux Etats-Unis, bloqués cette année par une attaque et qui a provoqué une pénurie temporaire de carburant. Mais ce peut aussi être le cas des hôpitaux, on se souvient de ces établissements dont tout le système informatique était bloqué au pire moment de la pandémie de Covid. Bien entendu, c’est sans oublier les services étatiques qui peuvent donner accès à des éléments stratégiques ou qui regroupent des informations sur des millions de personnes.
Mais la question de la vie privée et des données personnelles n’est qu’une partie émergée de l’iceberg pour Mario Greco. « Tout d’abord, il faut comprendre qu’il ne s’agit pas seulement de données… Il s’agit de civilisation. Ces personnes [les hackers, NDLR] peuvent lourdement perturber nos vies ».
Or, ces perturbations ont un coût réel et potentiel. Ainsi, les assureurs ont commencé à modifier leurs polices pour exclure certains types d’attaques. Autrement dit, pour ne pas avoir à éponger les frais générés par les conséquences d’une cyberattaque. La Lloyd’s a ainsi demandé en septembre dernier que les cyberattaques menées par des hackers sponsorisés par un État ne soit pas couverte par l’assurance, indique le Financial Times.
Un moyen d’inciter les sociétés à faire davantage, mais surtout un pas vers une nouvelle approche de l’assurance. Ainsi, Mario Greco indique qu’il y a des limites à ce que le secteur privé peut absorber en matière de pertes collatérales. Il appelle donc à « la mise en place d’un plan privé-public pour gérer les risques cyber systémiques qui ne peuvent pas être quantifiés, similaires à ceux qui existent dans d’autres jurisprudences pour les tremblements de terre ou les attaques terroristes. »
Le gouvernement américain étudierait d’ores et déjà cette approche. En septembre, il aurait lancé un appel à avis pour savoir si une assurance fédérale contre les cyberattaques serait garantie. Il faut dire que le hack de la Colonial Pipeline a montré l’effet domino qu’une cyberattaque peut produire au quotidien.
Si le rôle de garant de l’Etat n’est pas forcément une mauvaise idée, il s’agit en effet bel et bien d’un enjeu de société. Toutefois, il semble qu’il faudrait que cette protection soit soumise à un contrôle en amont et à des contreparties. Après tout, les hacks sont souvent rendus possibles par la négligence des entreprises ou de leur manque d’investissements dans la cybersécurité. Il serait donc un minimum qu’avant de solliciter les poches des contribuables, le secteur privé se donne les moyens de se protéger au mieux.
Source :
Financial Times