Réduire les cyberpertes silencieuses et les risques pour les assureurs et les assurés

Les cyberattaques font toujours la une des manchettes même lorsqu’elles deviennent plus régulières. L’une des raisons en est que les dommages causés par une attaque vont au-delà d’infliger de graves dommages à la réputation et à l’argent. Une nouvelle génération de ransomwares comme WannaCry et Nit Petya, des preuves croissantes de cyberattaques à l’état-nation et le ciblage d’appareils connectés qui automatisent les systèmes critiques, ont montré comment les cyberattaques peuvent perturber les opérations physiques et les services.

Keith Stonell, directeur général EMEA, Guidewire Software

Les effets des attaques sur l’infrastructure d’une organisation spécifique ne peuvent être minimisés dans leur ensemble. Ils peuvent aller de la perturbation des systèmes ATM, des systèmes de pompage pour l’eau et le gaz, des alimentations électriques, à l’accès à des services numériques essentiels qui soutiennent tout, du shopping à la chirurgie.

Lacorrection de ces types de perturbations a mis en évidence la question de la cybersécurité silencieuse dans les polices d’assurance utilisées par les entreprises et d’autres organisations. Lorsqu’une organisation a réclamé des dommages physiques causés par une cyberattaque qui a invalidé ou détruit des systèmes essentiels, elle a constaté que ces pertes ne sont pas couvertes parce que la cybersécurité n’est pas inscrite dans ses principales polices immobilières.

Les polices d’assurance peuvent se taire sur beaucoup de choses. Par exemple, les contrats d’assurance ne sont ni positifs ni négatifs quant à savoir si une organisation est couverte pour une invasion martienne, ou si un cachalot va tomber sur le toit de votre immeuble.

En plaisantant sur les menaces fantastiques, le silence dans les contrats d’assurance peut être mauvais tant pour l’assuré que pour l’assureur parce que les risques qui n’ont pas été articulés sont susceptibles d’être non tarifés et/ou non protégés.

Si le contrat est silencieux sur les effets physiques d’une cyberattaque, l’organisation assurée pourrait alors lancer les dés sur la question de savoir si sa demande est acceptée ou non. Ils peuvent croire qu’étant donné que la cybersécurité n’est pas explicitement exclue, ils ne peuvent réclamer leur police d’assurance principale que pour obtenir le retour de leur assureur.

Pour l’assureur, le silence sur les cyberrisques signifie qu’il ne peut être certain de ce que pourraient être les risques ultimes d’une police qui comprend un bien à l’intérieur duquel des systèmes informatiques connectés exécutent des services essentiels qui pourraient être détruits ou gravement perturbés par une attaque. Le risque pour l’assureur est que la protection offerte par les polices d’assurance des biens est beaucoup plus grande que celle des polices de cyberassurance.

L’ année dernière, nous avons effectué une analyse des cyberrisques silencieux avec Aon, une société de services professionnels leader dans le monde qui offre un large éventail de solutions de gestion des risques, de la retraite et de la santé.

Notre étude a examiné le scénario d’une attaque hypothétique par des pirates contre un barrage hydroélectrique américain, qui pourrait avoir un impact sur les entreprises et les propriétaires. L’attaque a imaginé comment les pirates ont ouvert le déluge es à un barrage hydroélectrique. Si un tel scénario se produisait, il pourrait causer des dommages importants aux inondations en aval, ce qui entraînerait des pertes cyber silencieuses pour les assureurs. À l’aide de modèles informatiques, le total des pertes assurées d’un barrage ayant été violé physiquement par une cyberattaque a été estimée à 10 milliards de dollars. Cela équivaut aux dommages causés par le vent et les ondes de mer associés à un ouragan.

La cybernétique silencieuse n’est pas une tactique d’évitement délibérée de la part des assureurs, mais sa persistance compromet la proposition de valeur des assureurs en aidant les clients à avoir une plus grande certitude quant aux risques ; et il pourrait y avoir des répercussions si les assureurs vendent des produits qui ne sont pas pertinents aux besoins des clients.

Le point de départ pour remédier à la cybernétique silencieuse est de définir le cyber-danger comme un danger qui, comme une tempête violente ou un débordement de cours d’eau, peut causer d’énormes pertes assurées dans le monde réel. Les contrats de police doivent être réécrits de manière positive ou négative en ce qui concerne la couverture des dommages liés à la cybernétique. Cette tâche n’est pas facile étant donné que la formulation du contrat peut varier considérablement, mais il s’agit là d’une étape essentielle que de nombreux assureurs entreprennent actuellement.

Mettre fin au cybernétique silencieux n’est pas une question triviale. La réécriture des polices doit s’accompagner du développement et de la disponibilité de produits de cyberassurance qui tiennent compte des pertes physiques assurées. Celles-ci pourraient faire partie de polices d’assurance immobilière réinventées ou de cyberpolices autonomes.

Les assureurs ont également besoin de nouveaux outils pour cerner et comprendre les risques qui sont plus difficiles à prévoir que les risques établis liés aux intempéries, aux inondations ou aux incendies. Il faut procéder plus régulièrement à la mise à l’épreuve de leurs portefeuilles d’assurance des biens par rapport à de nouveaux scénarios axés sur le cybernétique qui endommagent les infrastructures physiques critiques. De plus, la compréhension de l’impact physique potentiel des cyberrisques permet à un assureur de travailler avec les clients pour atténuer ces risques en encourageant une plus grande résilience de l’entreprise ou en faisant appel à des partenaires de réassurance.

En fin de compte, l’objectif des assureurs doit être de créer un marché beaucoup plus large pour l’assurance contre les cyberpertes. Les assureurs ne veulent pas seulement que les cibles de cyberattaque à haut risque achètent la cyberassurance, mais aussi que tous les types d’entreprises et de particuliers soient protégés. De cette façon, l’industrie peut créer un marché suffisamment grand pour absorber les risques même d’une attaque grave et critique des infrastructures nationales.

Gaston Alexandre

En tant que travailleur indépendant, j’ai décidé de me lancer dans la rédaction d’articles basée sur le buzz international. Je traite ainsi différents sujets, et particulièrement ceux qui ont suscité un énorme engouement dans la société mondiale. J’écris ainsi des articles concernant les thématiques à fort caractère, c’est-à-dire qui créent un véritable impact émotionnel chez le lecteur. Le nombre d’articles que j’écris est variable au quotidien. L’objectif étant de fournir le maximum d’informations pertinentes du jour, vous pouvez alors découvrir de nombreuses publications d’une douzaine de lignes par article.
Bouton retour en haut de la page