Le risque cyber devenu inassurable
Les cyberattaques vont bientôt coûter plus cher que les catastrophes naturelles. Le risque devient inassurable, estime Mario Greco, CEO, Zurich Insurance.
Inassurable… Par-delà la surprise de l’interview de Mario Greco dans le Financial Times, la position n’étonne pas. Déjà, les analystes avaient prévenu. Alors que, pour la deuxième année consécutive, les sinistres liés aux catastrophes naturelles devraient dépasser les 100 milliards USD, les cyberattaques pourraient représenter une plus grande menace. Et donc un risque trop grand. « Si quelqu’un prenait le contrôle de parties vitales de nos infrastructures, quelles en seraient les conséquences ? », interroge le CEO de Zurich Insurance. Et d’estimer, encore, que « se concentrer sur le risque de violation de la vie privée des individus, c’est passer à côté de l’essentiel… ».
Une page se tourne. Déjà, Axa et Generali ont arrêté de couvrir le risque cyber. Axa a considérablement évolué sur cette question, tandis que Generali, malgré la légalisation, ne semble pas prêt à couvrir à nouveau ce risque. Pour les experts, La validation du paiement des rançons permet de borner un business model, mais élude la question des clauses additionnelles, comme la garantie portant sur la remontée du système d’information ou la perte d’exploitation, qui pourraient coûter bien plus cher aux assureurs qu’un paiement des cyber rançons. Aussi, les professionnels souhaitent réduire ou éliminer la part des garanties cyber dans les contrats qui ne sont pas spécifiquement dédiés à ce risque.
Assurable avec des limites… inassurable demain
En 2019, déjà, Zurich Insurance avait initialement refusé une demande de 100 millions USD de la part du géant alimentaire Mondelez, propriétaire notamment des marques Belin, Côte d’Or ou Milka, visée par le logiciel de destruction de données NotPetya. L’assureur avait argué que le contrat excluait une « action de guerre ». Les deux parties ont par la suite trouvé un accord. En septembre, le Lloyd’s of London, qui réunit plusieurs grandes sociétés d’assurance britanniques, avait défendu une démarche visant à limiter les risques systémiques liés aux attaques informatiques en demandant que les polices d’assurance écrites sur le marché comportent une exemption pour les attaques soutenues par un État.
De toute évidence, il devient difficile d’assurer le risque d’attaques qui perturbent des hôpitaux, qui ferment des pipelines et cible des ministères. Pour Mario Greco, il y a une limite à ce que le secteur privé ne peut dépasser. Entretemps, les primes ont augmenté de plus de 200 % et les contrats ont été modifiés pour rembourser moins de pertes…
C’est donc la limite à ce que le secteur privé peut absorber, en termes de souscription de toutes les pertes résultant des cyberattaques, que Mario Greco défend. Et d’appeler les gouvernements à « mettre en place des programmes privés-publics pour gérer les cyber-risques systémiques qui ne peuvent être quantifiés, similaires à ceux qui existent dans certaines juridictions pour les tremblements de terre ou les attaques terroristes ». Sera-t-il entendu ?
Prendre les devants
En ce sens, le CEO de Zurich Insurance s’inscrit dans la mouvance US. En effet, le gouvernement américain a demandé des avis sur l’opportunité d’une assurance fédérale pour la cybercriminalité, qui pourrait faire partie ou non de son programme d’assurance public-privé actuel pour les actes de terrorisme. Selon le bureau, des exemples tels que le piratage de Colonial Pipelines, qui a provoqué des pénuries d’essence temporaires dans le sud-est des États-Unis, démontrent que « une seule cyberattaque peut se répercuter sur des infrastructures critiques et avoir des conséquences catastrophiques. »
« Plus vous pouvez prendre les devants pour atténuer les risques de manière proactive, plus vous pouvez peut-être ne pas toujours prévenir ces incidents, mais les empêcher d’avoir un gros impact matériel », notent encore les experts du site spécialisé PYMNTS. Selon leurs estimations, 85 % des organisations de soins de santé ont déclaré avoir vu un nombre croissant de risques de cyberattaques au cours de l’année dernière. Et 58 % des professionnels de l’informatique ont déclaré que leurs organisations étaient la cible d’attaques par ransomware. Aux Etats-Unis, le FinCEN (Financial Crimes Enforcement Network), qui dépend du Trésor, a calculé que le nombre d’attaques par ransomware signalées par les institutions financières en 2021 a doublé par rapport à 2020. Un pas de plus vers l’inassurable.
Mais il y aurait pire. Dans le contexte géo-politique du moment, les assureurs craignent avant tout les cyberattaques des Etats, devenues centrales dans les guerres mondiales. Les services de cyber-sécurité ukrainiens ont annoncé, peu avant Noël, avoir neutralisé plus de 4 500 cyberattaques russes contre leur pays depuis le début de l’année…