1 56 Table of Contents 58 76

ATOUT RISK MANAGER N°27

ATOUT RISK MANAGER N°27 I HIVER 2020 57 Actualité de l’AMRAE - Assises de la cybersécurité 2020 Q uels parallèles ou caractéristiques communes entre le virus de la Covid-19 et ses impacts et les attaques cyber et leurs propres conséquences? Quels sont les modèles d’assurances associés? D’entrée de jeu, Oliver Wild a rappelé que pour ces risques de grande ampleur, la place de la gestion du risque déjà fondamentale, s’était trouvée renforcée. Et de formuler que «même si nous n’étions pas préparés à la pandémie, l’investissement des entreprises par exemple sur le risque de la supply chain a permis aux entreprises d’être résilientes et de moins souffrir que celles qui en étaient dépourvues. Une entreprise qui gère ses risques est durable. Cela vaut pour la Covid‑19 comme pour le risque cyber» . Sur la pandémie, le président de l’AMRAE a également souligné la volonté des assureurs de réviser tous leurs contrats où le risque d’épidémie était inclus pour l’en exclure et de procéder de la même façon sur le risque cyber pour l’exfiltrer des polices générales et le cantonner dans des polices dédiées. Virus ou vers? Questionnant les similitudes entre le risque Covid‑19 et le risque cyber, Maxime Cartan a plutôt évoqué la similitude avec des vers pour les schémas de propagation, non géolocalisés : une nuée de petits vecteurs qui transmettent la maladie à la victime. «On est plus proche de la malaria et du paludisme» . Sur la propagation explique-t-il «le caractère sans frontière (alors que pour les autres risques, il y a toujours une notion de périmètre) ; l’asymétrie entre attaque et défense (si un seul élément suffit à contaminer, il faut défendre et protéger tout le périmètre) ou l’impact de la remédiation avec des règles d’hygiène à mettre en place et à respecter. Les similitudes «En cyber,» ajoute Maxime Cartan, il n’y a qu’une vulnérabilité à trouver, un seul point dans le réseau quand le défenseur doit tout cloisonner. En biologie, un cas de contagion suffit à la création d’un cluster alors qu’il faut protéger toute la population . Seconde similitude, la temporalité : les symptômes se déclenchent assez tard car la période d’incubation est élevée pour la chaîne de compromission. Les versetmalwares sepropagent sans aucune charge utile mais avec une bombe logique qui explose à l’instant t avant l’impact : on est dans la furtivité.» Troisième similitude explique-t-il : «la pénurie de ressources remédiation. Si l’on est tous acteurs dans l’anticipation et dans l’hygiène biologique etnumérique,chacunvoitlapénuriedepersonnels en réanimation ou d’expert en remédiation IT en cas d’attaque majeure et massive.» Couvrir les conséquences économiques Car, insiste Luc Vignancour, «le risque cyber n’a pas de limite, est systémique et peut survenir partout enmême temps. Ça peut chauffer partout en même temps!» . Et d’expliquer la faiblesse du modèle assurantiel cyber «un assureur ne peut affirmer pouvoir compter sur suffisamment de clients pour porter le risque de tout le monde.» Ce risque est récent, sans forte expérience actuarielle et surtout « sans matelas financier quand la sinistralité explose». C omment dans ce cas, quantifier sans historique ? Et quel risque à terme pour la solvabilité des assureurs et donc sur les remboursements aux assurés? Maxime Cartan compléta cette explication en soulignant que pour acquérir des données (et donc des clients), les assureurs n’avaient pas hésité dans un premier temps à proposer des conditions commerciales attractives. Mais au terme de cette première phase, il fallait désormais scénariser les menaces afin de comprendre la façon dont les attaquants procèdent techniquement. Et Luc Vignancour de préciser en substance que les assureurs et les courtiers n’ont globalement Risques biologiques et informatiques : deux risques systémiques avec nombre de points communs, débattus à l’aune de la question assurantielle. Oliver Wild, le président de l’AMRAE, Maxime Cartan, cofondateur et président de la société Citalid et Luc Vignancour, International Underwriter Cyber & Executives Risks du groupe Beazley ont confronté leurs approches et désaccords sous la houlette de la journaliste Cécile Desjardins. Table ronde Risque cyber et risque épidémiologique : quel modèle d’assurance pour les risques systémiques? «  Une entreprise qui gère ses risques est durable. Cela vaut pour la Covid‑19 comme pour le risque cyber» Oliver Wild, Président de l’AMRAE.

RkJQdWJsaXNoZXIy NjQyNDQw