Les assureurs se bousculent pour mettre un prix sur une cybercatastrophe

Jack Sachs





En 1992, l'ouragan Andrew a dévasté la côte sud de la Floride, tuant des dizaines de personnes et causant plus de 25 milliards de dollars de dégâts. La tempête a également révélé des faiblesses critiques dans la manière dont les assureurs de biens quantifiaient le coût potentiel d'une telle catastrophe naturelle. De nombreuses compagnies d'assurance ont subi de grosses pertes dans les mois qui ont suivi la tempête et plusieurs ont échoué .

Aujourd'hui, les assureurs ont du mal à comprendre la portée économique d'un nouveau type de catastrophe potentielle, celle-ci d'origine humaine : une cyberattaque dévastatrice. Certaines des leçons de 1992 s'appliquent, mais à d'autres égards, il s'agit d'un type de problème très différent à résoudre.

De grands assureurs, dont AIG et Chubb, proposent des cyberassurances depuis la fin des années 1990, et aujourd'hui environ 80 entreprises en vendent, la plupart axées sur les violations de données. Le marché de la cyberassurance a récemment commencé à se développer rapidement, car une série d'attaques très médiatisées a convaincu les cadres supérieurs que les pirates constituaient une grave préoccupation. PricewaterhouseCoopers estimations les entreprises paieront 7,5 milliards de dollars pour la cyberassurance en 2020, contre un estimé 2,75 milliards de dollars en 2015.



Pourtant, les assureurs ont encore du mal à saisir la nature du cyber-risque et à comprendre comment structurer leurs polices de manière à ne pas les rendre vulnérables à des pertes catastrophiques.

Les gens commencent à considérer la cybersécurité comme un risque commercial plutôt qu'un problème informatique, déclare Arvind Parthasarathi, PDG de Cyence, une entreprise de trois ans qui aide les assureurs à modéliser les cyber-risques. Cela signifie reconnaître qu'il ne s'agit pas d'un problème avec une solution claire, mais d'un risque qui peut être géré, mais pas éliminé. Maintenant, dit Parthasarathi, les cadres demandent, quel risque suis-je à l'aise de garder ?

Les assureurs se posent la même question alors qu'ils tentent de déterminer comment tarifer les nouvelles polices de cybersécurité. La cybermenace moderne est complexe et évolue rapidement. Le défi le plus urgent consiste à quantifier le risque qu'une cybercatastrophe frappe de nombreux assurés à la fois, en estimant la perte maximale dans le pire des cas. C'est ce que les assureurs n'ont pas réussi à faire avant l'ouragan Andrew.



Une cybercatastrophe d'une ampleur comparable à celle de l'ouragan Andrew est difficile à modéliser, en partie parce qu'elle ne s'est pas encore produite. En octobre dernier, nous avons eu un aperçu d'une façon dont une telle calamité pourrait se produire lorsque des pirates ont utilisé un réseau de webcams, de DVR et d'autres appareils Internet des objets réquisitionnés pour lancer une attaque massive par déni de service sur Dyn, un routeur majeur du trafic Internet. L'attaque a rendu de nombreux sites Web importants, dont Amazon, Netflix et Spotify, indisponibles pour des millions d'utilisateurs aux États-Unis pendant des heures (voir 10 Breakthrough Technologies 2017 : Botnets of Things).

Le coût de l'attaque Dyn n'est pas encore clair, mais une récente panne de quatre heures du système de stockage en nuage S3 d'Amazon (qui n'était pas le résultat d'une cyberattaque) a coûté aux entreprises du S&P 500 au moins 150 millions de dollars, selon une estimation de Cyence. Il n'est pas difficile d'imaginer une attaque à grande échelle contre un service cloud causant des milliards de pertes.

Une cyberattaque contre une infrastructure physique traditionnelle, comme celle qui a pris une partie substantielle de la grille à Kiev, en Ukraine, en décembre, est également préoccupante. Certains ont attribué l'attaque à des pirates informatiques parrainés par l'État russe. Le marché de l'assurance Lloyd's de Londres a récemment analysé un scénario hypothétique dans lequel une panne d'électricité dans le nord-est des États-Unis laisse 93 millions de personnes sans électricité. Il a conclu qu'un événement comme celui-ci pourrait coûter aux assureurs entre 21 et 71 milliards de dollars, illustrant à quel point il est difficile de déterminer le coût de ces risques.

Le défi d'essayer de quantifier le risque cyber est similaire à certains égards à ce que les assureurs ont dû relever dans les années 1990, en ce sens qu'ils ont très peu d'expérience avec ce type de risque. Il a fallu 15 ans pour construire les ensembles de données qui sous-tendent les modèles de catastrophes naturelles complexes et détaillés sur lesquels les assureurs s'appuient aujourd'hui, explique Tom Harvey, chef de produit chez Risk Management Solutions, qui développe des modèles de risques catastrophiques pour les assureurs. Alors que les choses évoluent beaucoup plus rapidement pour le cyber, dit-il, les données que les entreprises collectent sont encore assez incohérentes. Il est donc difficile de regrouper les informations et d'étudier les tendances de l'industrie.

Il existe des différences importantes entre la modélisation des catastrophes naturelles et des cybercatastrophes, bien sûr, à commencer par le fait que des humains qualifiés sont à l'origine des cyberévénements, et non des lois physiques. Les motivations, les tactiques, les techniques et les cibles des pirates informatiques changent rapidement pour surmonter de nouvelles défenses. Le défi consiste à comprendre un adversaire actif, explique Parthasarathi de Cyence, dont la société s'appuie sur la théorie des jeux et l'économie comportementale pour modéliser le comportement des attaquants.

Comprendre la géographie d'Internet est également crucial pour évaluer le risque d'une grande cyberattaque. Les assureurs ont besoin d'une carte des emplacements où les données précieuses sont stockées, y compris des informations sur la façon dont les propriétaires de ces actifs les protègent, déclare Stephen Boyer, CTO et cofondateur de BitSight. La société de Boyer effectue ce type de cartographie des actifs stockés sur Internet et mesure les performances de sécurité des organisations qui possèdent ces actifs.

Les assureurs doivent éviter de faire la version cybernétique de couvrir tout le monde sur la côte de la Floride avant l'ouragan Andrew, dit Boyer, des choses comme offrir trop de polices aux entreprises qui dépendent de la même technologie ou du même fournisseur de services, comme Amazon Web Services, par exemple. Lorsqu'une panne se produit là-bas, tout le monde a une réclamation, dit-il.

cacher