Assurance / BTP / BUP / Cybersécurité / ERP/IGH / Industrie/ICPE
Comment l’assurance peut aider les entreprises à faire face au risque numérique
Comment l’assurance peut aider les entreprises à faire face au risque numérique
Qu’il s’agisse d’une défaillance technique, d’une erreur humaine ou, comme ce fut le cas avec Petya et WannaCry, d’une cyberattaque en règle, le risque informatique est majeur pour les entreprises qui délivrent des produits ou des services, du fait de la transformation numérique du monde industriel. La mise en place de procédures appropriées de gestion du risque doit être une priorité absolue, incluant la compréhension des principaux risques d’interruption d’activité.
Un seul incident informatique peut entraîner une interruption d’activité importante. Et le nombre d’incidents ne cesse d’augmenter. Les attaques par déni de service (DDoS) devraient doubler d’ici 2020 (environ 25 % par an). Le fournisseur de service réseau Akamai note une augmentation des attaques de la couche infrastructure de 77 % et ce uniquement pour la période allant du 3e trimestre 2015 au 3e trimestre 2016. La plus importante, le botnet Mirai, a touché en octobre 2016 le prestataire DNS Dyn et rendu inaccessibles les sites web de Netflix, Twitter, The Guardian, CNN…
Les défaillances techniques d’infrastructures informatiques sont également en augmentation, provoquant des arrêts des transports et interruptions de production. Les atteintes à la protection des données devraient augmenter de 40 % par an d’ici 20191.
Qu’il s’agisse d’une défaillance technique, d’une erreur humaine ou d’une cyberattaque, ces incidents surviennent dans le monde entier ce qui implique, à l’échelle de la collectivité, l’émergence d’une nouvelle « normalité ».
Le numérique rassemble dans un même monde les usines intelligentes, les réseaux électriques, les machines, les services publics et autres équipements. Les incidents informatiques perturberont donc les machines, les transports, les travaux de génie civil, les automates, les usines et les services de santé. De nouvelles vulnérabilités se font jour, que les cyberdélinquants pourraient exploiter avec l’augmentation de l’inter-connectivité.
Qu’ils soient accidentels ou planifiés, ces incidents ont pour conséquence une interruption d’activité. Des entreprises en sont victimes dans tous les secteurs, mais les services sont particulièrement vulnérables en raison de la capacité de données stockées et traitées.
1) New report points to alarming DDoS attack statistics and projections, Corero, 26 juin 2016
Intelligents mais toujours vulnérables
Les risques informatiques ne se limitent pas à un secteur en particulier, mais se répartissent dans différentes entreprises de toutes tailles. Une cyberattaque, de type déni de service distribué (DDoS) par exemple, peut saturer le serveur web d’un magasin en ligne et le rendre inaccessible. Des composants logiciels et capteurs incompatibles peuvent arrêter une chaîne de production en flux tendu d’une usine d’industrie lourde. Un mauvais réglage des paramètres de température ou de pression peut entraîner une perturbation dans la livraison de pétrole. Dans chaque cas, le résultat pour l’entreprise est le même : une interruption de l’activité. Les entreprises dépendent de plus en plus du numérique pour contrôler et optimiser la production.
De la même manière, l’interconnectivité fait de la chaîne d’approvisionnement un élément fondamental de l’entreprise. En raison de ces dépendances, les interruptions d’activité sont encore plus immatérielles par nature. On estime que l’Internet des objets (IoT) augmentera de 10 à 15 billions de dollars le produit intérieur brut (PIB) mondial d’ici 20302. Le numérique est particulièrement visible dans l’industrie lourde. Aujourd’hui, le monde compte 1,1 million de robots de travail et environ 80 % des tâches du secteur automobile sont attribuées à des robots3. Plus de 3,5 milliards de machines sont connectées au sein de la chaîne d’approvisionnement mondiale, un nombre qui ne cessera d’augmenter à l’avenir, pour atteindre probablement 50 milliards de machines dans la prochaine décennie.
2) Ten illuminating stats about the Internet of Things, VE Interactive, 26 octobre 2016
3) Automation, robots and AI: The rise of the supply chain machines, Digital Supply Chain, 11 novembre 2016
L’applicabilité des dispositifs interconnectés, des usines intelligentes, des machines intelligentes et de la surveillance en temps réel entraînera une convergence des technologies de l’information (e-mails, applications et outils bureautiques) et des technologies d’exploitation (machines intelligentes, dispositifs de production et capteurs) dans les quinze à vingt prochaines années. Toutefois, l’état actuel exige une approche différente en termes de quantification de l’exposition et de souscription des risques informatiques.
Une usine intelligente comprend la communication et l’échange de données en temps réel, depuis la réception de la matière première jusqu’à l’expédition du produit, et assure la logique nécessaire pour que différents dispositifs et machines puissent exécuter des processus physiques « intelligents ».
Dans ce scénario les machines s’arrêteront lorsqu’elles identifieront une anomalie, ce qui réduira le nombre de dommages physiques. Cependant, les interruptions d’activité dues à un incident informatique seront aussi plus fréquentes et une couverture d’assurance sera nécessaire contre les pertes d’exploitation et les carences de fournisseurs, liées à des cyberincidents.
Solutions d’assurance cyber
L’assurance cyber concerne les interruptions d’activité non traditionnelles et immatérielles dues à un événement cyber. Lorsqu’un incident survient et qu’il en résulte des dommages physiques ou des pannes de machines, l’indemnisation relève d’un contrat d’assurance dommage aux biens ordinaire, en raison de l’existence de dommages physiques et de la difficulté de démontrer la cause cyber en cas de dommages graves.
Le marché doit travailler sur les « zones grises » des contrats d’assurance cyber, ainsi que sur les lacunes et les doublons en matière de garanties entre les différentes solutions. Les contrats d’assurance dommage aux biens offrent beaucoup plus de capacités que les contrats d’assurance cyber seuls : plus de certitude sur leur contenu, meilleure gestion des sinistres, ainsi qu’une expertise et une connaissance liées à des années d’expérience.
À mesure que les assureurs s’attaquent aux risques informatiques « silencieux », couverts par des contrats d’assurance dommage aux biens et de responsabilité civile classiques, ils étudient les garanties traditionnelles plus attentivement pour comprendre et évaluer les nouvelles expositions. Toutefois, l’historique des sinistres déclarés est limité, notamment en ce qui concerne l’interruption d’activité, et le cumul des risques est difficile à calculer. Les assureurs amorcent un tournant décisif, mais la route est encore longue en utilisant des scénarios de modélisation hypothétiques. À la fin 2015, Lloyd’s of London a demandé à ses syndicats d’élaborer des scénarios de cyberattaques plausibles mais extrêmes, et d’estimer l’exposition totale, ce qui devrait devenir « une exigence annuelle »4.
Les solutions d’assurance répondent au fait que les événements cyber évoluent rapidement et sont difficiles à prévenir ou à prévoir. En raison de cette incertitude, de nombreuses entreprises peuvent découvrir qu’elles ont été touchées longtemps après l’événement initial. L’assurance cyber a été conçue pour couvrir spécifiquement les pertes d’exploitation et les responsabilités liées aux cyber-risques.
Le meilleur moyen d’atténuer ce risque est de nommer un directeur de la sécurité cyber ou un responsable équivalent afin de mettre en place un système de gestion globale de la sécurité cyber. Même si cette activité est coûteuse et prend du temps, elle est nécessaire non seulement pour la sécurité informatique, mais aussi pour la santé à long terme de l’entreprise.
4) Insurers grapple with cyber-attacks that spill over into physical damage, The Economist, 1er décembre 2016
Pauline Vacher
Directrice de la souscription Lignes Financières d’Allianz Global Corporate & Specialty (AGCS) France depuis janvier 2017.
Elle a débuté sa carrière chez Marsh France en 2002, comme gestionnaire de sinistres Aviation puis gestionnaire de sinistres Lignes Financières avant de rejoindre AIG France en 2007 en tant que souscriptrice Institutions Financières grands comptes puis responsable de l’unité Institutions Financières sur le segment middle market à partir de 2010, et enfin responsable de l’unité Institutions Financières depuis 2012. Elle est titulaire d’un DESS de Droit des Assurances obtenu à l’Institut des Assurances de Paris 1 La Sorbonne.
Jérôme Chartrain
Souscripteur Senior Cyber chez Allianz Global Corporate & Specialty (AGCS) pour la France et le reste de la région Méditerranée (Italie, Espagne, Benelux) depuis septembre 2017.
Avant de rejoindre AGCS, Jérôme Chartrain était souscripteur senior cyber/risques informatiques chez Chubb, où il a passé 13 ans en France et au Royaume-Uni. Il est titulaire d’un master en management international de l’assurance de l’École Supérieure d’Assurances.
Les plus lus…
Cette fiche réflexe a été créée dans un contexte où la menace drone est trop souvent ignorée, et où…
La société Rolland, spécialisée dans la conception et la fabrication de sprinkleurs pour les réseaux de protection incendie, obtient…
Le développement des mobilités électriques, notamment les vélos, trottinettes et voitures, fait peser un risque nouveau tant chez les…
La directive (UE) 2024/2831 du Parlement européen et du Conseil du 23 octobre 2024, relative à l’amélioration des conditions…
D’avis unanime, les JOP 2024 ont été une réussite sur le plan sécuritaire. Durant cet événement inédit, trois projets…
L'arrêté du 31 octobre 2024 relatif à l'analyse des substances per- et polyfluoroalkylées dans les émissions atmosphériques des installations…