Intervention de Christophe Delcamp

Les assureurs ont toujours soutenu les entrepreneurs et l'innovation, que ce soit pour le transport de marchandises dans la Méditerranée au XIIe siècle ou contre les incendies lors des première et deuxième révolutions industrielles. Nous assistons aujourd'hui à une troisième révolution, celle du numérique. Les assureurs ont là encore toute leur part à jouer pour accompagner cette mutation économique et accepter de gérer les risques que les entrepreneurs ne peuvent pas supporter seuls.

En quoi le risque cyber est-il un risque spécifique pour les assureurs ? D'abord, les assureurs travaillent avec des chiffres, pour analyser le risque et sortir la cotation la plus pertinente. Or, on ne commence à parler du risque cyber en France que depuis cinq ans, contre quinze ans aux États-Unis. Nous ne disposons donc que de très peu d'éléments chiffrés. Les seuls que je peux confirmer, ce sont les primes du marché cyber : 80 millions d'euros en France ; 2,7 milliards aux États-Unis. Si on regarde les ratios de couverture du risque cyber par rapport au total des risques couverts, on est à 0,14 % en France contre 0,54 % aux États-Unis. Cet écart n'est pas aussi important qu'il en a l'air : les États-Unis, du fait de la réglementation, telle l'obligation des frais de notification en cas de cyberattaque, ont commencé à travailler sur le risque cyber dès le début des années 2000, ce qui n'est pas le cas de la France.

Le deuxième élément, c'est que les assureurs regardent les sinistres, le passé. Il y a eu beaucoup d'attaques, comme celle ayant affecté les antennes de TV5 Monde, Stuxnet en Iran à des fins d'espionnage militaire, et beaucoup d'autres à des fins économiques. La dernière en date a touché les terminaux de cartes bleues dans les stations-services. Le problème en France, c'est qu'il y a peu de contrats et peu de sinistres, les assureurs doivent donc se référer aux évaluations fournies par les cabinets d'audit ou par les prestataires informatiques. Les seuls chiffres officiels dont nous disposons sont ceux du comité des conseillers économiques du président américain. Son rapport publié en 2019 pour l'année 2018 s'est en effet concentré sur le risque cyber et l'intelligence artificielle. Ils estiment que le coût global de la cyber-malveillance est compris entre 57 milliards et 109 milliards de dollars en 2019, soit entre 0,31 %et 0,58 % du PIB américain. Si l'on appliquait ces chiffres à la France, cela représenterait entre 7 milliards et 13 milliards d'euros, voire entre 10 milliards et 20 milliards d'euros si on les actualisait pour l'année 2018. C'est donc très loin des 80 millions d'euros de primes.

D'après le rapport annuel d'Accenture et de Ponemon, le coût moyen de la cybercriminalité pour une entreprise a augmenté de 12 % entre 2017 et 2018 et de 70 % sur quatre ans. Les assureurs, à défaut de bases actuarielles, travaillent sur des scénarios, en étroite coopération avec l'Agence nationale de sécurité des systèmes d'information, au sein de l'Institut de recherche technologique System X. L'an dernier, ils ont fait une simulation d'attaque cyber sur les sous-traitants du secteur aéronautique. Si une attaque touchait les 1 500 premiers sous-traitants du constructeur européen Airbus, cela représenterait un coût de 400 millions d'euros pour les assureurs.

Troisièmement, face à un risque, les assureurs ont l'habitude de travailler tant sur l'aléa que sur la vulnérabilité. L'aléa, c'est la connaissance du risque. Les assureurs ne sont pas des experts mais développent des capacités dans ce domaine, en employant par exemple des ingénieurs. La vulnérabilité mesure la prévention et la protection. C'est bien plus compliqué de prévenir le risque cyber que de prévenir les risques incendie ou inondation.

Les assureurs essayent de quantifier les enjeux, sur la base de scenarios. On parle aujourd'hui beaucoup d'hygiène informatique, de règles à respecter. Une théorie monte progressivement, poussée par le laboratoire national de l'Idaho, en charge de la sécurité du nucléaire civil et de toutes les industries à risque. Selon elle, l'informatique est beaucoup trop compliquée et on ne devrait pas y appliquer une couche supplémentaire de règles de prévention et de protection. Il faudrait d'abord revenir au manuel, à l'analogique, faire une cartographie des risques et, une fois identifiés les processus à risque, les déconnecter de toute connexion informatique et les faire contrôler et surveiller par l'homme. Le laboratoire a ainsi mené un premier test avec l'un des plus grands fournisseurs de gaz et d'électricité aux États-Unis. Ils vont aussi le faire avec un corps d'armée. Ils en concluent qu'il est tellement difficile de se protéger face à des acteurs étatiques très bien armés pour s'introduire dans les systèmes d'information qu'il vaut mieux revenir en arrière et faire du manuel. Le risque vient de la conjugaison entre aléa et vulnérabilité. Les assureurs travaillent sur les garanties, sur l'unification des définitions, en lien avec l'Agence nationale de sécurité des systèmes d'information et le groupement d'intérêt public « Action contre la cybermalveillance » (GIP ACYMA), qui a développé la plateforme www.cybermalveillance.gouv.fr.

Enfin, la dernière problématique pour les assureurs est celle de la maîtrise des cumuls. Les assureurs doivent savoir combien ils doivent mettre face à chaque risque. Par exemple, WannaCry a touché sept villes le premier jour, 1 500 le quatrième. Pour les assureurs, cela peut donc coûter très cher en termes de capacités et d'engagements.