Obama B. Obama : « Les États-Unis doivent aussi faire face à une menace de cyber-attaques qui croit rapidement. Maintenant, nos ennemis cherchent à être capables de saboter notre réseau électrique, nos institutions financières et nos systèmes de contrôle du trafic aérien » (2013).

Le Lloyd’s, premier marché mondial de l’assurance et réassurance, et l’université de Cambridge ont pris le président américain au mot. Dans un rapport paru le 08 juillet 2015, ils étudient les conséquences d’une cyber-attaque d’envergure sur le réseau électrique américain et ses implications dans le monde assurantiel.

Black-out dans 15 états américains

Dans le scénario catastrophe imaginé, des hackers font tomber 50 générateurs électriques plongeant 15 états et 93 millions d’américains dans le noir. Cette panne entraînerait temporairement la fermeture d’usines, l’arrêt de l’activité commerciale et financière, la survenance d’accidents de tout genre. Le scénario prédit même une augmentation du taux de mortalité, en raison de la défaillance de certains équipements de santé et de sécurité, ou encore une rupture de l’approvisionnement en eau, due à l’arrêt des pompes électriques…

L’impact total sur l’économie américaine est estimé à 243 milliards de dollars et atteint 1000 milliards de dollars dans le cas le plus extrême.

 Des demandeurs variés

Le rapport insiste sur la grande variété d’acteurs impactés par cette attaque qui feront forcément joué leurs polices d’assurance. Les assureurs seraient face à de nombreuses demandes d’indemnisations provenant de branches variées : dommages aux biens, l’interruption des affaires ou encore la responsabilité…ce qui est susceptible de mettre en danger la solvabilité d’un certain nombre d’assureurs!

Principaux demandeurs d’indemnisation

 

 
Catégorie de demandeurs d’indemnité   Motifs des demandes
 Producteurs d’électricité(Société générant et vendant l’électricité)
  • Dégâts matériels
  • Interruption de l’activité
  • Coûts de réponse à l’accident et amendes des régulateurs pour ne pas avoir fourni de l’électricité
 Fournisseurs des producteurs d’électricités(Sociétés ayant fourni les générateurs électriques, fournisseurs des systèmes de salle de contrôle, développeurs du logiciel de contrôle, société développant le pare-feu et l’anti-malware…) Afin de récupérer une proportion de leurs pertes, les producteurs d’électricité attaqueront probablement ces sociétés :

  •  Dégâts
  • Interruption de l’activité
 Entreprises ayant subi des pertes en raison de la panne
  • Dommages
  • Interruption de l’activité
  • Incapacité de protéger ses employés ou pollution en raison de la panne
 Entreprises indirectement affectées (hors de la zone de blackout mais touchées par les perturbations dans l’approvisionnement)
  • Interruption de l’activité
  • Dévaluation de la valeur boursière en raison d’un plan de continuité inadéquat
 Propriétaires
  • Dommages matériels (principalement liés à la décongélation du réfrigérateur ou du congélateur)
 Particuliers
  • Demande d’indemnités variées (l’annulation d’évènement par exemple)
  • Rachat de contrats d’assurance-vie
  • Versement de capitaux ou de rentes d’assurances-vie en cas de décès

Les indemnités versées par les compagnies d’assurance s’élèveraient à 21,4 milliards de dollars et atteindraient 71,1 milliards de dollars dans le scénario extrême.

 Faire face à l’agrégation des risques… via le rassemblement de données

Cet hypothétique blackout met en lumière une problématique du monde hyperconnecté : l’agrégation des risques. Une seule action peut entraîner la réalisation de risques très différents.

Selon Ian Birdsey, expert en assurance et cyber risque de Pinsent Masons, faire face à une cyber-attaque d’une telle ampleur est un challenge majeur pour les assureurs. Afin de s’y préparer, ces derniers se doivent d’évaluer, autant que faire se peut, tous les risques directs et indirects. Ce recensement se fera par la recherche et l’analyse des conséquences dues au black-out.

Pour le Lloyd’s, « recherche et analyse »  rime avec la récupération de données. Cette donnée permet d’estimer plus justement les risques associés à un portefeuille d’assurances. Ils préconisent donc :

  • L’échange d’informations entre les assureurs
  • La remontée d’informations de la part des sociétés ayant subi des cyber-attaques : Si celles-ci ne relaient que peu l’information (en raison du risque d’image notamment), une solution pourrait être l’anonymisation de données.
  • Une aide de l’État, afin d’encadrer la récupération de données

L’analyse de ces données contribuerait à mesurer plus précisément quels sont les risques ou les coûts associés à des attaques… soit d’appréhender globalement le risque.

Ces informations représenteraient un bon départ pour le développement de modèles probabilistes  performants intégrant systématiquement le risque cyber. Il s’agira pour les assureurs d’innover et d’offrir des produits répondant aux risques actuels en « réduisant l’incertitude liée au cyber risque ».

Pour Tom Bolt, directeur du département performance management au Lloyd’s, grâce à la combinaison de l’expertise des assureurs dans le pricing des risques, la capacité du secteur de la cyber sécurité à évaluer les menaces et vulnérabilités et l’expertise du monde de la recherche en modélisation des risques, les assureurs seront en mesure d’offrir une nouvelle génération de cyber assurances adaptés à l’ère du digital.

Quelques mots sur Lloyd’s

Le Lloyd’s n’est pas une entreprise d’assurance … mais un marché qui s’est créé en 1688. Les assureurs (personnes physiques ou morales) s’y réunissent pour assurer des risques conjointement, en se regroupant en syndicats. Le Lloyd’s a assuré le Titanic, a émis le premier contrat d’assurance automobile ou encore a assuré le premier les risques dans l’espace…

Pour en savoir plus sur l’histoire du Lloyd’s : Lloyd’s

Comment se déroule la recherche d’assureurs au Lloyd’s ? la réponse ici