• Octobre 2017 #26

    Cyberrisque : une prise de conscience au ralenti

    Dossier de l'actuariel

    Les entreprises françaises ne semblent pas encore prendre toute la mesure de la menace cyber…
    lire la suite
  • Octobre 2017 #26

    Entretien avec Florence Tondu-Mélique

    Réalisé par l'actuariel

    CEO Zurich France, Florence Tondu-Mélique répond aux questions de l'actuariel.
    lire la suite
  • Octobre 2017 #26

    Qu’attendre de la retraite à points ?

    Dossier de l'actuariel

    La réforme des retraites fait partie des grands chantiers présidentiels. Et interpelle les actuaires (...)
    lire la suite
  • Octobre 2017 #26

    Fintechs & assurtechs : les aiguillons de l’innovation

    Dossier de l'actuariel

    L’apparition de ces start-up force les acteurs traditionnels à se réinventer et les régulateurs à en (...)
    lire la suite
  • L'institut des actuaires remercie l'ensemble des participants, les partenaires et les sponsors du 16ème Congrès des Actuaires
  • L'institut des actuaires

    Depuis 125 ans, l’Institut des actuaires organise (...)

    Depuis 125 ans, l'Institut des actuaires organise et représente, en France, la profession. Au servic (...)
    lire la suite
 

Accès membre



mot de passe oublié

Magazine

le mag

Une vision et une analyse différentes de l'économie.

Abonnez-vous !

l'actuariel

Enjeux 21-09-2017 Par Juliette Nouel

Cyberrisque : une prise de conscience au ralenti

Les entreprises françaises ne semblent pas encore prendre toute la mesure de la menace cyber : cybersécurité minimale, conviction de ne pas être une cible, manque de moyens humains… Comment expliquer cette persévérance dans le déni du risque ?

Silhouette en ombre chinoise derrière un rideau de codes informatiques ; main noire menaçante sortant de l’écran ; sabres de pirate et tête de mort dessinés sur un clavier… Pour illustrer la menace cyber, médias et réseaux sociaux font preuve de beaucoup d’imagination. Et pour cause : il faut donner corps à l’invisible.

450 Mds$ : estimation du coût des cyberattaques dans le monde en 2016*

53 Mds$ : estimation du coût moyen d’une cyberattaque mondiale majeure du type piratage du cloud. Le montant assuré moyen serait alors de 8,1 Mds$.*

3 à 3,5 Mds$ : marché mondial de l’assurance cyber (dont 80 % pour les États-Unis et moins de 1 % pour la France)*

Environ 8 Mds$ : estimation de ce marché en 2020*

145 000 : nombre de lignes de code utilisées pour la mission Apollo 11 sur la Lune en 1969…100 millions : nombre de lignes de code utilisées pour une voiture aujourd’hui*

8,4 Mds : nombre d’objets connectés utilisés dans le monde en 2017 (dont 3,1 milliards en B2B), chiffre qui passerait à 20,4 milliards en 2020 (dont 7,4 milliards en B2B)**.

Sources : *Rapport Lloyd’s / Cyence 2017 : Counting the cost, Cyber exposure decoded ;** Étude Gartner, février 2017 : http://www.gartner.com/newsroom/id/3598917

Car, d’un côté, les coupables sont inconnus ; de l’autre, les victimes se taisent pour protéger leur notoriété. Résultat : malgré l’explosion des attaques, peu de cas de victimes directes sont révélés (à l’exception notable de TV5 Monde en 2015, qui dut arrêter d’émettre durant 24 heures et dont l’attaque ne fut complètement résolue qu’après plus d’un mois d’intervention), pas ou peu d’images, rien de vraiment concret pour marquer les esprits. « On navigue dans un univers flou, désincarné et sans limite géographique étant donné l’interconnexion mondiale des systèmes informatiques, constate Daniel Ventre, chercheur au Centre de recherches sociologiques sur le droit et les institutions pénales (Cesdip – CNRS/UVSQ/ministère de la Justice). On a beau utiliser des mots qui marquent les esprits, comme pirates, dark web, cyberterrorisme, voire cyberguerre, la réalité demeure difficilement appréhendable et, au final, ce qui reste, ce sont des chiffres sur la progression des attaques, rien que des chiffres. » Autre facteur ajoutant à la confusion : « L’évolution permanente de la menace, si bien qu’on ne sait jamais à quoi s’attendre. »

Comble de l’irréalité : le mal peut parfois passer inaperçu (ce serait le cas d’un tiers des piratages) ou n’être détecté que plusieurs mois après. Sans frontières, sans visage, sans mode opératoire fixe et parfois sans conséquences immédiates… Y aurait-il une particularité du cyberrisque, qui empêcherait les entreprises d’en prendre conscience ? « Le cyberrisque est à la frontière entre l’univers du risque – savoir ce qui peut arriver mais ne pas être sûr que cela va arriver – et l’univers incertain : ne pas savoir ce qui va arriver, pose Myriam Merad, directrice de recherche au CNRS-INSHS. Pour une entreprise qui n’a pas encore été gravement touchée par un piratage, tout se passe comme s’il s’agissait de science-fiction, d’où vient d’ailleurs le mot cyberespace. » Or, note la chercheuse, « il est difficile de se préparer à un roman de science-fiction ».

« Les cyberrisques font encore plus peur aux assureurs qu’aux assurés ! »

L’actuariel : Quelle est la particularité de l’assurance cyber ?

Ali Jaghdam : Contrairement aux autres types de risques, les cyberrisques font encore plus peur aux assureurs qu’aux assurés ! Ils échappent complètement aux modèles de tarification : attaques sévères encore trop rares et conséquences désastreuses. En outre, le peu de données que les assureurs pourraient exploiter reste tenu secret par les entreprises. Enfin, le risque n’a pas de frontière et ne peut donc pas être maîtrisé par régionalisation comme pour les catastrophes naturelles. Résultat : les offres sont souvent peu lisibles. Côté assurés, en revanche, les cyberrisques ne font pas assez peur ! La majorité des entreprises ne pensent même pas à se protéger. Et quand elles se penchent sur la question, elles estiment souvent le prix trop élevé par manque de conscience de la gravité des conséquences. Enfin, pour les contrats cyber, les assurés peuvent craindre de se retrouver non couverts en raison d’une interprétation différente des modalités de l’attaque, qui, il est vrai, ne cessent d’évoluer.

L’actuariel : Que faire pour sortir de cette double impasse ?

A.J. : Pour augmenter l’aversion aux cyberrisques des entreprises, il faut une vraie médiatisation des sinistres : partage de l’information sur l’état de sécurité technique de la victime, sur la formation des salariés et sur le montant de ses pertes. Des centres de collecte de l’information doivent se créer et les pouvoirs publics ont un rôle à jouer. Pour diminuer l’aversion des assureurs, le développement du marché de la réassurance est un premier levier, à condition de mettre en place des mesures de prévention : formations spécifiques contrôlées par des stress tests réguliers. Par ailleurs, il faut lutter par la loi contre les « paradis numériques », qui favorisent l’action des pirates, et introduire des certifications sur le marché de la cybersécurité.

L’actuariel : Quel est le principal écueil à éviter ?

A.J. : Les entreprises ne doivent surtout pas se contenter de prendre une assurance en se disant « c’est bon, la question est réglée ». L’assurance n’est qu’une partie de la résolution du problème, qui consiste d’abord à faire une analyse des risques, puis à mettre en place des solutions techniques accompagnées d’une gouvernance des risques et, enfin, à ajuster en permanence ceux-ci en fonction de l’évolution de la menace. Dans cette optique, les assureurs pourraient, en acquérant de nouvelles compétences, intégrer le marché de la cybersécurité et devenir fournisseurs de services. On aurait ainsi des contrats à deux volets : un contrat d’assurance sur les dommages subis et un accompagnement sur le management du risque.

Pour en savoir plus : Comment débloquer le marché de l’assurance cyber en France ? par C. d’Aumale, F. Gratiolet, S. Sollat et F.X. Vincent, publié par le groupe cybersécurité des alumni de Telecom Paristech.

Une menace dramatiquement sous-évaluée

De fait, si seules 3 % des entreprises françaises s’estiment très confiantes dans leur capacité à faire face au cyberrisque (et 49 % « assez confiantes »), à peine plus d’un quart ont souscrit une assurance dans ce domaine, selon le dernier baromètre de la cybersécurité des entreprises Opinion Way/Cesin (lire l’interview). « Ces résultats sont préoccupants sachant que 93 % des entreprises interrogées par ce baromètre ont plus de 250 salariés, commente Alain Depiquigny, fondateur du cabinet de courtage Datassurances. Or les grandes entreprises sont censées avoir une longueur d’avance… »

Côté TPE-PME, le constat vire en effet à l’alarmant, ou relève de la schizophrénie : alors qu’elles sont victimes de près de 80 % des agressions, 56 % des PME évaluent leur risque d’être ciblées comme faible ou très faible, d’après l’étude du cabinet d’expertise comptable Denjean réalisée en partenariat avec Gan Assurances. Chez cet assureur, les services dédiés au cyber ont tout de même noté que les clients étaient « plus à l’écoute » depuis les vagues d’attaques du printemps Wanna Cry et Petya. Une écoute qui reste à concrétiser…

« Même alertées, les TPE-PME continuent à penser qu’elles pourront s’en sortir sans trop de dégâts simplement grâce à leur prestataire informatique, souligne Alain Depiquigny. Elles sont concentrées sur leur croissance et n’ont qu’une certaine quantité d’énergie et de capitaux disponible : s’immerger dans un nouveau domaine de prévention est vécu comme une contrainte trop lourde. » Autre raison tout aussi fondamentale : prendre des risques est inhérent à l’activité entrepreneuriale. Nouveaux marchés, produits ou procédés… sans un certain déni du risque, il n’y a pas de développement. « C’est tout le paradoxe : pour avancer, il ne faut pas toujours penser au danger ; sinon, on reste sur place, ajoute Myriam Merad. Résultat, le cyberrisque est encore, et à tort, placé dans la catégorie des “risques acceptables”. » Enfin, un biais cognitif bien connu des psychologues pourrait aussi jouer un rôle (lire l’encadré ci-dessous. Une chose est sûre, « jouer sur l’anxiogène, ça ne marche pas », déclare Alain Depiquigny. Pire : cela peut augmenter la tendance au déni. Ce constat unanime rapproche d’ailleurs le comportement face au cyberrisque du comportement face au risque climatique (lire ci-dessous «Les changements climatiques»).

Un risque entre technique et humain

Alors comment sortir de là ? Selon Myriam Merad, « il faut passer de “ comment éviter qu’un risque se matérialise ? ” à “ de toute façon, je vais être attaqué, donc comment faire face et préserver mon capital ? ”. Il s’agit d’abandonner l’idée que l’on peut tout maîtriser pour accepter sa vulnérabilité ». Un basculement de point de vue qui ouvre la porte à la résilience et passe forcément par l’analyse des risques.

Cette étape de l’analyse des risques, la majorité des grandes entreprises l’ont déjà franchie en mettant en place des solutions techniques. Est-ce pour autant suffisant ? La réponse ne surprendra personne étant donné l’actualité : loin de là ! « Le problème a été mal posé dès le départ. La prise de conscience du cyberrisque est apparue bien après la conception des systèmes informatiques et, aujourd’hui, on superpose des couches de protection sans s’interroger sur l’humain », estime Jean Caire, chargé d’expertise au contrôle général de sécurité à la RATP.

De manière générale, l’espèce humaine a tendance à surestimer la probabilité d’un événement positif dans l’avenir et à sous-estimer celle d’un événement négatif. Les psychologues appellent cette tendance le biais d’optimisme. Il apparaît dès les processus d’apprentissage, où les informations positives sont privilégiées par rapport aux informations négatives. Une équipe du laboratoire de neurosciences cognitives de l’Inserm-ENS a récemment dévoilé que ce phénomène est présent dans l’apprentissage le plus basique : celui par essai et erreur. « Les sujets étudiés accordent aux bonnes nouvelles 50 % plus d’importance en moyenne qu’aux mauvaises nouvelles », détaille Stefano Palminteri, coordinateur de cette étude publiée dans la revue scientifique Nature Human Behaviour en mars 2017. Il y aurait même une corrélation neurophysiologique : « L’activité enregistrée dans les structures majeures du circuit cérébral de la récompense est quasiment deux fois plus importante chez un sujet optimiste comparativement à un sujet plus réaliste, à récompense égale. » Mais le biais d’optimisme n’a pas que des bons côtés. Stefano Palminteri cite volontiers cette phrase du Candide de Voltaire : « L’optimisme, hélas ! C’est la rage de soutenir que tout est bien quand on est mal. » Résultat : le biais d’optimisme influence notre logique et nos comportements et peut empêcher d’anticiper les problèmes. Quand tout semble « être bien », pourquoi changer les choses ? 

Refuser d’envisager le malheur

Pour Claude Hansen, experte à l’Institut pour la maîtrise des risques, il y a une vraie résistance à se préparer au malheur et les grandes entreprises ont tendance à la contourner en misant tout sur la technique : « Certes, il y a des plans de formation des salariés, mais, une fois la formation terminée, il ne se passe plus rien. » 

À l’Agence nationale de la sécurité des systèmes d’information, qui a notamment la responsabilité de la centaine d’opérateurs d’importance vitale (OIV), l’accent est bien mis sur l’adhésion de l’humain : « Pour cela, il faut un vrai système de management du risque : de la formation avec des serious games, suivie de son corollaire indispensable, un entraînement régulier avec des menaces à blanc pour tester les acquis », explique le commandant Fabien Caparros, consultant cyberrisque à l’agence. Le but est de faire passer le salarié de la posture d’utilisateur passif à celle de défenseur actif, c’est-à-dire en alerte sur la détection des signaux faibles de piratage. Dans une société de l’urgence, l’utilisateur passif a en effet tendance à contourner les règles. « Le défi, c’est de trouver le compromis entre la contrainte de sécurité et le besoin opérationnel. La solution passe par un dialogue permanent – ce qui prend du temps – entre la sécurité des systèmes d’information et les utilisateurs, et beaucoup d’agilité ensuite pour ajuster les règlements. »
Le dernier rapport publié par SANS Security Awareness (SANS Institute) rejoint ce diagnostic. Son titre : It’s Time to Communicate. Pour la première fois cette année, pointe le rapport, ce n’est pas le budget qui est cité comme principal obstacle mais le manque de temps et de compétence en communication de ceux qui doivent sensibiliser les salariés.

Les lois aideront-elles à déclencher ou à accélérer la prise de conscience ? Tous les décrets d’application de la loi de programmation militaire imposant aux OIV de nouvelles règles de sécurité sont désormais parus ; au niveau européen, la directive Network and Information Security (NIS) ainsi que le General Data Protection Regulation (GDPR) doivent être appliqués au plus tard en mai 2018…

Contrairement à la menace cyber qui, avant de frapper, évolue dans un monde virtuel, la menace climatique se déroule dans un monde bien réel. Regardons-nous pour autant la vérité en face ? Réponse avec Anne-Caroline Prévot, directrice de recherche au CNRS et chercheuse au Cesco-MNHN.

L’actuariel : Sous-estimons-nous le risque climatique ?

Anne-Caroline Prévot : Il est très difficile d’imaginer l’importance des bouleversements à venir. On est sans doute très proche d’un point de basculement dit « effet de seuil », où même les scientifiques ne savent pas ce qui va se passer. Or, contrairement à une cyberattaque, le dérèglement climatique peut toucher chacun dans son intégrité, sa santé et son bien-être. Au niveau individuel, le risque est donc jugé à la fois trop complexe et trop angoissant par rapport à nos capacités d’y répondre. Les psychologues nomment ce phénomène la dissonance cognitive : entre l’ampleur de la menace et nos moyens limités d’action, l’inconfort émotionnel devient trop fort. Cette réaction émotive peut aller jusqu’au déni, pour nous protéger nous-mêmes. Comme pour le cyberrisque mais pour des raisons différentes, le déni nous a fait passer de la possibilité de l’évitement à l’obligation d’adaptation.

L’actuariel : Qu’avons-nous du mal à remettre en cause ?

A.-C.P. : Le changement climatique bouleverse notre rapport à la nature. Nous Occidentaux, nous avons toujours vécu sur le mythe d’une nature providentielle, aux capacités de renouvellement infinies, malgré l’usage productiviste que nous en avons fait. Il bouleverse également notre rapport à la technique et à sa supposée toute-puissance : beaucoup croient d’ailleurs encore qu’elle pourra nous sauver et rattraper tous les dégâts occasionnés par nos activités. Pour toutes ces raisons, il faut repenser l’humain dans le système du vivant et retrouver un peu d’humilité.

L’actuariel : Comment s’en sortir ?

A.-C.P. : Autre point commun avec le cyberrisque : être alarmiste n’est pas productif et il ne faut surtout pas croire que donner l’information suffit pour faire passer le message. Tout dépend du moment, de nos croyances, du porteur du message mais aussi de notre groupe d’appartenance, car il est très difficile de penser différemment de ses pairs. Tant qu’on reste dans sa communauté, ça fonctionne. Mais dès qu’on en sort, les blocages apparaissent. Si vous êtes une entreprise, votre credo est la croissance. Tout discours qui vient le contrecarrer est taxé a priori d’« écolo », perçu comme une leçon de morale et donc rejeté sans discussion. Inversement, les écolos ont du mal à croire à la capacité du monde économique à relever le défi. Pour casser ces stéréotypes, il faut cesser les discours hiérarchisés (celui qui sait parle à celui qui ne sait pas). Chacun devient alors acteur et pas simplement receveur d’information. C’est ce que font déjà les sciences participatives autour de la biodiversité.

À lire : Le Souci de la nature, sous la direction de Cynthia Fleury et Anne-Caroline Prévot, CNRS Editions, avril 2017.

Ajoutez un message personnel