Assurance transport : comment se protéger du risque "cyber" ?

En croissance de 26 % entre 2014 et 2018, le coût des cyberattaques s’élèvera cette année à… 650 milliards de dollars ! "Le nombre des attaques augmente à travers le monde. Elles concernent tous les secteurs et toutes les entreprises sans différenciation de taille", constate Frédéric Denèfle du Comité d’études et de services des assureurs maritimes et transports (Cesam). En mai 2017, 76 terminaux du groupe AP Møller-Maersk ont ainsi été bloqués, certains pendant une dizaine de jours, pour une perte évaluée à plus de 300 millions de dollars. Cette évolution s’accompagne d’une prise de conscience face à ces nouveaux risques puisque "76 % des dirigeants d’ETI confirment avoir déjà subi un cyber accident". Dans le même temps, les États tentent de s’en prémunir avec la mise en œuvre de nouvelles réglementations dont les périmètres couvrent le secteur des transports et de la logistique : Cloud Act aux États-Unis, Règlement général sur la protection des données (RGPD) ou encore la directive européenne Network and Information System Security (NIS). D’application récente, elles ne permettent pas encore d’en mesurer les effets mais posent déjà un régime de sanctions si les entreprises ne s’y conforment pas.

Cerner le risque

Face au cyber risque, les assureurs présents lors des Rendez-vous du Cesam les 26 et 27 juin à Paris reconnaissent la gravité de la situation. D’un côté, la numérisation gagne du terrain et touche tous les maillons de la chaîne logistique via, par exemple, l’automatisation, la traçabilité au moyen des objets connectés ou le contrôle et le pilotage à distance. De l’autre, ces nouvelles technologies sont autant de vecteurs de risque et d’accès aux systèmes d’information des entreprises.

Face à un danger aux formes multiples, il est du coup difficile de cerner le risque et la menace relative aux dommages d’une cyberattaque. "Pour déployer une protection, il faut en effet connaître la nature de la menace et l’exposition à cette dernière", rappelle François Baume de Bureau Veritas. "Aujourd’hui, les entreprises et les assureurs ont du mal à identifier et à évaluer le risque" faute de données et de recul suffisant face à un danger mouvant et évolutif.

Approche par exclusion ?

Si les assureurs ont conscience que leurs offres devront rapidement s’adapter, le contour de leurs nouvelles protections reste à préciser et pose la question du cumul des dommages. "Une cyberattaque n’a pas de frontières ni de cibles d’entreprises et sa durée est difficile à cerner", relève Corinne Cipière d’AGS. D’autres menaces pour les compagnies d’assurance sont les "couvertures silencieuses", soit des dommages assurés pour des risques identifiés mais qui interviennent à la suite d’un cyber accident. Dans ce contexte, les premiers travaux visant à définir une protection assurancielle tentent d’exclure certaines garanties. Tel est le sens de la clause AVN 124 dans l’aéronautique présentée par Sophie Moysan de La Réunion Aérienne et La Réunion Spatiale. Elle prévoit une exclusion générale à l’exception de couvertures aéronautiques classiques et standards. "Au moyen de cette clause facultative, l’assureur conserve la possibilité de couvrir d’autres risques optionnels".

Quid des expertises nécessaires

Dans le maritime, Bureau Veritas a défini une évaluation du risque cyber à trois niveaux. "Elle permet de mesurer en amont la performance de l’armement face à cette menace. Cette démarche couvre la conception du navire en incluant les fournisseurs de ses équipements à son exploitation en conditions réelles. Cette évaluation globale et continue permet d’obtenir un monitoring des flottes et des services de supervision à terre", explique François Baume. Pour commercialiser mais aussi constater et évaluer les dommages liés à une cyberattaque, les assureurs devront enfin se doter de nouveaux experts spécialisés et qualifiés. Une profession d’avenir semble-t-il.