Décidément, l'industrie de l'assurance est en délicatesse avec ce siècle. Non contente de sonner l'alarme depuis quelques temps sur l'expansion incontrôlable des risques climatiques, par conséquent bientôt impossibles à couvrir, voilà qu'un phénomène similaire, tout aussi critique, se développe désormais dans l'univers de la cyberdéfense.
C'est par la voix de Mario Greco, directeur général de Zurich Insurance, relayée dans un article du Financial Times, que le ton, sombre, est donné. Au vu des tendances actuelles, marquées notamment par plusieurs sinistres d'ampleur tels que l'offensive contre le pipeline Colonial aux États-Unis, il estime que ce ne sont plus les catastrophes naturelles qu'il faut redouter en priorité mais les menaces visant les infrastructures essentielles, dont les retombées sont considérables et engendrent des coûts insupportables.
L'explosion des pertes dues à ces événements conduit de plus en plus fréquemment à l'instauration de limitations dans les contrats, dont, par exemple, l'exclusion des cas relevant d'actes de guerre ou « simplement » émanant d'organismes étatiques. Comme toujours en pareilles circonstances et par analogie avec les réponses aux séismes et aux attentats terroristes, entre autres, les entreprises privées, dépassées, suggèrent la mise en place de mécanismes spécifiques de garantie au niveau des gouvernements.
Cependant, ce désir à peine voilé de dégager l'assurance de sa responsabilité dans les affaires les plus importantes soulève de très nombreuses questions, instillant une incertitude sur la légitimité des arguments brandis et laissant finalement planer un doute sur la capacité des compagnies à appréhender un domaine émergent éminemment technique. D'emblée, les restrictions selon l'origine de l'attaque, difficile à identifier sans ambiguïté, illustrent mes réserves, en donnant une impression de clause arbitraire.
Un autre sujet de contention majeur, et celui-ci n'est pas à charge contre les assureurs, concerne les protections mises en œuvre par les victimes potentielles. Trop souvent, les drames pourraient être évités ou, a minima, être moins graves si des précautions normales, à la hauteur des enjeux, étaient prises en amont. À l'instar des normes antisismiques des bâtiments, peut-être faudrait-il envisager d'imposer aux entreprises des obligations de sécurisation afin de modérer les impacts des sinistres.
Incidemment, il s'agit aussi d'une opportunité parfaite à saisir par les compagnies, d'enrichir leur proposition de valeur avec un accompagnement (sérieux) dans la prévention. À défaut de réglementation (qui paraît illusoire, à l'heure actuelle, au vu de la complexité du sujet), elles pourraient définir leurs standards et déployer les outils nécessaires pour maîtriser leur exposition. Encore faudrait-il pour ce faire qu'elles acquièrent les indispensables compétences, en interne ou à travers des partenariats.
Enfin, avant de se précipiter vers un transfert de responsabilité aux états, je me permettrai de contester la notion même d'un risque « cyber » systémique. Après tout, à ce jour, les attaques restent ponctuelles et, contrairement à un tremblement de terre, il n'y a pas de situation où l'aléas devient quasiment certain, donc susceptible d'exclusion. En réalité, ce que craignent les assureurs est le montant des dommages éventuels à indemniser… mais est-ce alors un motif raisonnable pour accepter qu'ils se défaussent ?
En outre, il semble primordial de distinguer clairement deux catégories très différentes de clients. Si les secteurs extrêmement sensibles (infrastructures stratégiques, hôpitaux…) portent effectivement un niveau de risque exceptionnel, pour lesquels des garanties sont vraisemblablement déjà fournies par les autorités politiques, de manière plus ou moins implicite, l'immense majorité des acteurs économiques n'a besoin que de couvertures relativement élémentaires, ne présentant, en principe, aucun défi insurmontable.
En conclusion, j'en viens à me demander si l'inquiétude affichée par Mario Greco reflète avant tout un aveu d'impuissance de ses équipes à décliner leur métier sur un terrain qui ne leur est pas familier… et, plus précisément, à adapter leurs modes de fonctionnement à l'ère « digitale ». Il est vrai qu'il n'est pas si fréquent d'avoir à « inventer » un nouveau produit d'assurance, à peu près hors de toute référence existante. Heureusement, des concurrents moins timorés sauront probablement faire preuve de l'agilité requise.