Publicité

Comment l’assurance peut aider les entreprises à faire face au risque numérique

Qu’il s’agisse d’une défaillance technique, d’une erreur humaine ou, comme ce fut le cas avec Petya et WannaCry, d’une cyberattaque en règle, le risque informatique est majeur pour les entreprises qui délivrent des produits ou des services, du fait de la transformation numérique du monde industriel. La mise en place de procédures appropriées de gestion du risque doit être une priorité absolue, incluant la compréhension des principaux risques d’interruption d’activité.

Un seul incident informatique peut entraîner une interruption d’activité importante. Et le nombre d’incidents ne cesse d’augmenter. Les attaques par déni de service (DDoS) devraient doubler d’ici 2020 (environ 25 % par an). Le fournisseur de service réseau Akamai note une augmentation des attaques de la couche infrastructure de 77 % et ce uniquement pour la période allant du 3e trimestre 2015 au 3e trimestre 2016. La plus importante, le botnet Mirai, a touché en octobre 2016 le prestataire DNS Dyn et rendu inaccessibles les sites web de Netflix, Twitter, The Guardian, CNN…
Les défaillances techniques d’infrastructures informatiques sont également en augmentation, provoquant des arrêts des transports et interruptions de production. Les atteintes à la protection des données devraient augmenter de 40 % par an d’ici 20191.
Qu’il s’agisse d’une défaillance technique, d’une erreur humaine ou d’une cyberattaque, ces incidents surviennent dans le monde entier ce qui implique, à l’échelle de la collectivité, l’émergence d’une nouvelle « normalité ».
Le numérique rassemble dans un même monde les usines intelligentes, les réseaux électriques, les machines, les services publics et autres équipements. Les incidents informatiques perturberont donc les machines, les transports, les travaux de génie civil, les automates, les usines et les services de santé. De nouvelles vulnérabilités se font jour, que les cyberdélinquants pourraient exploiter avec l’augmentation de l’inter-connectivité.
Qu’ils soient accidentels ou planifiés, ces incidents ont pour conséquence une interruption d’activité. Des entreprises en sont victimes dans tous les secteurs, mais les services sont particulièrement vulnérables en raison de la capacité de données stockées et traitées.

1) New report points to alarming DDoS attack statistics and projections, Corero, 26 juin 2016

Intelligents mais toujours vulnérables

Les risques informatiques ne se limitent pas à un secteur en particulier, mais se répartissent dans différentes entreprises de toutes tailles. Une cyberattaque, de type déni de service distribué (DDoS) par exemple, peut saturer le serveur web d’un magasin en ligne et le rendre inaccessible. Des composants logiciels et capteurs incompatibles peuvent arrêter une chaîne de production en flux tendu d’une usine d’industrie lourde. Un mauvais réglage des paramètres de température ou de pression peut entraîner une perturbation dans la livraison de pétrole. Dans chaque cas, le résultat pour l’entreprise est le même : une interruption de l’activité. Les entreprises dépendent de plus en plus du numérique pour contrôler et optimiser la production.
De la même manière, l’interconnectivité fait de la chaîne d’approvisionnement un élément fondamental de l’entreprise. En raison de ces dépendances, les interruptions d’activité sont encore plus immatérielles par nature. On estime que l’Internet des objets (IoT) augmentera de 10 à 15 billions de dollars le produit intérieur brut (PIB) mondial d’ici 20302. Le numérique est particulièrement visible dans l’industrie lourde. Aujourd’hui, le monde compte 1,1 million de robots de travail et environ 80 % des tâches du secteur automobile sont attribuées à des robots3. Plus de 3,5 milliards de machines sont connectées au sein de la chaîne d’approvisionnement mondiale, un nombre qui ne cessera d’augmenter à l’avenir, pour atteindre probablement 50 milliards de machines dans la prochaine décennie.

2) Ten illuminating stats about the Internet of Things, VE Interactive, 26 octobre 2016
3) Automation, robots and AI: The rise of the supply chain machines, Digital Supply Chain, 11 novembre 2016

L’applicabilité des dispositifs interconnectés, des usines intelligentes, des machines intelligentes et de la surveillance en temps réel entraînera une convergence des technologies de l’information (e-mails, applications et outils bureautiques) et des technologies d’exploitation (machines intelligentes, dispositifs de production et capteurs) dans les quinze à vingt prochaines années. Toutefois, l’état actuel exige une approche différente en termes de quantification de l’exposition et de souscription des risques informatiques.
Une usine intelligente comprend la communication et l’échange de données en temps réel, depuis la réception de la matière première jusqu’à l’expédition du produit, et assure la logique nécessaire pour que différents dispositifs et machines puissent exécuter des processus physiques « intelligents ».
Dans ce scénario les machines s’arrêteront lorsqu’elles identifieront une anomalie, ce qui réduira le nombre de dommages physiques. Cependant, les interruptions d’activité dues à un incident informatique seront aussi plus fréquentes et une couverture d’assurance sera nécessaire contre les pertes d’exploitation et les carences de fournisseurs, liées à des cyberincidents.

Solutions d’assurance cyber

L’assurance cyber concerne les interruptions d’activité non traditionnelles et immatérielles dues à un événement cyber. Lorsqu’un incident survient et qu’il en résulte des dommages physiques ou des pannes de machines, l’indemnisation relève d’un contrat d’assurance dommage aux biens ordinaire, en raison de l’existence de dommages physiques et de la difficulté de démontrer la cause cyber en cas de dommages graves.
Le marché doit travailler sur les « zones grises » des contrats d’assurance cyber, ainsi que sur les lacunes et les doublons en matière de garanties entre les différentes solutions. Les contrats d’assurance dommage aux biens offrent beaucoup plus de capacités que les contrats d’assurance cyber seuls : plus de certitude sur leur contenu, meilleure gestion des sinistres, ainsi qu’une expertise et une connaissance liées à des années d’expérience.
À mesure que les assureurs s’attaquent aux risques informatiques « silencieux », couverts par des contrats d’assurance dommage aux biens et de responsabilité civile classiques, ils étudient les garanties traditionnelles plus attentivement pour comprendre et évaluer les nouvelles expositions. Toutefois, l’historique des sinistres déclarés est limité, notamment en ce qui concerne l’interruption d’activité, et le cumul des risqu