Pas les dégâts du changement climatique, mais le risque de cyberattaques pourrait devenir inassurable dans un avenir proche. Le PDG Mario Greco de Zurich, l’une des plus grandes compagnies d’assurance d’Europe, a lancé cet avertissement lors d’une conversation avec le journal économique Le Financial Times. Alors que les assureurs ont dû débourser plus de 100 milliards de dollars (93 milliards d’euros) pour la deuxième année consécutive pour indemniser les dommages causés par les catastrophes naturelles, le Greco affirme que la cybersécurité ne sera bientôt plus couverte.
Selon le PDG de Zurich, lorsque nous pensons à la cybercriminalité, nous pensons souvent principalement à la capture d’informations sensibles à la vie privée, et non à ce qui peut arriver si quelqu’un prend le contrôle de parties vitales de l’infrastructure. « Ces personnes peuvent sérieusement perturber nos vies. »
PDG de Zurich: un partenariat public-privé est nécessaire pour assurer les risques systémiques
Des cyberattaques contre des infrastructures critiques comme celles de Kiev, où une grande partie de la population était privée d’électricité en 2015 et 2016 à la suite d’un piratage informatique. Ou la rançongicielattaque qui a fermé un oléoduc crucial aux États-Unis l’année dernière et provoqué des pénuries de carburant dans certains États. A lire aussi : Les entreprises paient les pirates, même s’ils ne sont pas assurés. « Il n’y a pas de bonne alternative. Dans une telle attaque, les pirates prennent en otage les données d’entreprises ou de services gouvernementaux, pour les contraindre à payer une rançon. » Pendant ce temps, les perturbations sociales peuvent coûter beaucoup plus cher. L’origine des groupes n’est pas toujours connue, même si l’on pense que des collectifs de hackers sont souvent actifs et ont des liens avec les gouvernements russe, chinois ou nord-coréen.
Lire aussiNCTV : les Pays-Bas sont perdants face aux cybermenaces
Hors antenne pendant deux semaines
Les entreprises ne sont pas les seules visées, comme cela s’est avéré ce mois-ci à Anvers. Le 6 décembre, il est devenu évident qu’un collectif de hackers avait infiltré les systèmes informatiques de la ville. Lorsque l’alarme a été donnée, les pirates étaient « in » depuis treize jours – et réclamaient une rançon. Si la ville ne transférait pas 2 millions d’euros, les pirates divulgueraient une grande quantité de données sensibles à la vie privée. Peu avant le piratage, une campagne avait été lancée pour sensibiliser les habitants et les entreprises aux cyberattaques. « Peut-être un peu ironiquement », le bourgmestre d’Anvers Bart De Wever a souri un peu convulsivement lors d’une conférence de presse au début de la semaine dernière.
Pour éviter le pire, la prise a été retirée de tous les systèmes informatiques. Plusieurs services de la ville ont été hors ligne pendant près de deux semaines. Les pirates ont finalement retiré leurs demandes, peut-être par peur d’être identifiés. On ne sait pas ce que le cyber cambriolage a finalement coûté à la ville – en tout cas, selon De Wever, aucune rançon n’a été versée. La ville ne serait pas non plus assurée contre les cyberattaques. Après tout, quel que soit le montant que vous y consacrez, « la sécurité à cent pour cent n’existe pas », a déclaré De Wever.
Et c’est précisément le problème des assureurs. Le nombre de cyberattaques augmente depuis des années, et avec lui les dégâts. Les sinistres poussent les assureurs à augmenter leurs conditions d’assurance ; mesurées sur avril et mai de cette année, selon une étude de l’assureur AON, les primes ont augmenté de 27% par rapport à il y a un an. De plus en plus de clients doivent également répondre à des exigences de sécurité élevées – l’assureur américain AIG demande à ses clients de remplir une liste de 25 questions sur leurs mesures de sécurité. Ceux qui obtiennent un score plus qu’insatisfaisant ne recevront pas de police.
Selon le PDG Greco, il y a des limites aux risques que le secteur privé peut supporter. Selon le chef zurichois, les gouvernements devraient mettre en place un « partenariat public-privé » pour assurer les risques systémiques posés par les cyberattaques – des risques généralement difficiles à quantifier.
La directive européenne doit être plus stricte
Les assureurs attendent également avec impatience une révision de la directive européenne sur la cybersécurité. La ligne directrice actuelle (2016) s’applique aux entreprises ayant une «fonction essentielle», comme dans le secteur des télécommunications et de l’énergie. À Bruxelles, les décideurs envisagent une révision qui se traduira par un plus grand nombre de secteurs soumis à des règles plus strictes et le nombre de mesures augmentera également. Grâce à la nouvelle directive, les entreprises «non assurables» devraient devenir plus sûres, ce qui réduit le risque et les coûts de la cyberassurance peuvent être quelque peu réduits. On ne sait pas encore quand la révision sera disponible. D’ici là, les règles suivantes s’appliquent : ne cliquez pas sur les liens suspects et mettez à jour la sécurité informatique en temps voulu.