Par Sarah Pineau, Collaboratrice parlementaire, Officier dans la réserve opérationnelle de l’armée de terre.
La cybersécurité est désormais un enjeu stratégique pour la gouvernance des entreprises et leurs conseils d’administration. Elles sont tenues, au titre de la RSE de fournir des informations sur leurs données. L’évaluation qui en est faite devient dès lors un argument (ou une faiblesse) vis-à-vis des clients et des marchés financiers/investisseurs, entre autres parce qu’elle impose aux entreprises d’avoir recours, comme face à la connaissance de tout type de risques, aux assurances.
Or n’en déplaise à Descartes, en matière de cybersécurité, la chose du monde la mieux partagée n’est pas le bon sens mais plutôt une méconnaissance qui confère parfois à la cyber-ignorance (I) ! Cet état de fait est renforcé par le manque de méthodologie des agences de notation extra-financières en matière d’appréciation du risque cyber (II). Dès lors, le marché de la cyber-assurance apparaît comme un palliatif au manque de maturité des agences de notation extra-financière sur cette question. Maturité qui doit passer par une diffusion d’une culture de cybervigilance dans l’ensemble de la société (III).
Méconnaissance et cyber-ignorance
Avant 2012, il est difficile de trouver une définition officielle du cyber-risque. L’Argus de l’Assurance, le caractérise ainsi : « Tout ce qui touche à l’atteinte, la violation ou la perte de données, ainsi qu’à des intrusions de réseau ou à la détérioration d’actifs aussi bien matériels qu’immatériels ».
Si 2015 marque le début de l’évaluation du cyber-risque et son intégration parmi les critères d’analyse des agences de notation, il reste avant tout appréhendé comme un facteur d’accélération des risques existants (solvabilité) et non comme un risque à part entière.
De fait, définir ne veut pas dire agir : en 2016, alors que l’affaire « Shadow Broker » est encore présente dans les esprits, le premier baromètre annuel de la cybersécurité des entreprises françaises montre que 93 % des entreprises sondées n’ont confiance ni en leurs outils informatiques, ni en leurs fournisseurs, ni en leurs hébergeurs. Et 40% d’entre elles affirment que les solutions techniques proposées par le marché ne sont pas adaptées aux différents types de menaces.
Il faut attendre les affaires « Wannacry » puis « NotPetya » soit mi-2017, pour que la prise de conscience du risque soit suivie d’effets plus concrets. Dans le cas de NotPetya, en juin 2017 le groupe Lapeyre – Point P. a, par exemple, estimé à 220 millions d’euros sa perte en revenus sur les six premiers mois de l’année, soit 1,1 % de son chiffre d’affaires.
Depuis ces crises, la stratégie de cybersécurité est de moins en moins du seul ressort des RSSI mais le pourcentage des entreprises qui intègrent la prise en compte des enjeux qui y sont liés au niveau du COMEX reste encore très faible. Ainsi, la toute récente étude du cabinet Wavestone, spécialiste de la transformation des entreprises, sur le bilan de maturité cybersécurité dans les rapports annuels du CAC 40 relève que seuls 25% des groupes du CAC 40 adressent la problématique de la cybersécurité au niveau du comité exécutif. L’un des co-fondateur de Cyrating, première agence de notation de la cybersécurité à avoir vu le jour en Europe, explique ainsi cette faiblesse du chiffre : « La cybersécurité n’est pas encore une discipline de management faute de vocabulaire commun, de données objectives, de métriques et de comparatifs ». Les agences de notation ont dès lors une place à prendre.
Mais les agences de notation n’y voient pas très clair…
L’accès à une notation actionnable de cybersécurité permet à toutes les parties prenantes de l’entreprise une compréhension – et donc une définition- commune des enjeux stratégiques de cybersécurité.
Pour évaluer l’exposition cyber des entreprises, bien que la méthodologie soit, par nature, propre à chaque agence de notation, on retrouve a minima les quatre indicateurs suivants : 1) la nature et le volume des données récoltées et traitées, 2) l’exposition face à une défaillance des réseaux engendrant une perte d’exploitation ; 3) la certification des systèmes d’informations (certification ISO/IEC 27001 entre autres) ; 4) les normes, la gouvernance et le contrôle interne en vigueur au sein des entreprises.
Ce sont les agences anglo-saxonnes qui, les premières, ont proposé une analyse du risque cyber. Bien qu’ayant le mérite d’exister, cette appréciation reste très limitée ; il s’agit d’une simple conformité à la norme. Or, d’une part conformité et sécurité ne riment pas nécessairement et, d’autre part, la question de la responsabilité n’est pas traitée. En outre, la seule attention portée à la conformité à la norme a cet autre défaut de ne pas procéder par une approche individualisée des risques mais de reposer uniquement sur des analyses de vulnérabilités communes à toutes les entreprises. Pourtant le risque cyber d’une entreprise médicale n’est pas vraiment le même que celui d’une entreprise agro-alimentaire par exemple. Une telle approche manque donc de finesse.
De plus, on peut s’interroger sur la pertinence des outils utilisés par ces agences pour évaluer le risque cyber: le plus souvent, elles se basent que sur des éléments publics (serveurs, site web public…) pour auditer la stratégie cyber des entreprises, ce qui reste superficiel et fragmentaire. Comme le note G. Billois associé, au sein de Wavestone, « ces critères sont en tant que tels pertinents et peuvent révéler des éléments intéressants mais ne sont clairement pas suffisants pour évaluer complètement la posture cyber d’une structure ».
En outre, comme à chaque fois en matière de traitement de données, la question de la forme n’est pas anodine : l’opacité des algorithmes utilisés par les agences de notation pour évaluer le risque n’est guère appréciée par les entreprises qui, faute de pouvoir s’y soustraire n’hésitent guère en revanche à contester la fiabilité des résultats…
Enfin, se pose la question de l’enjeu (géo)politique d’une telle évaluation, et ce à deux niveaux. Tout d’abord la question de la souveraineté : le marché de la notation cyber est dominé par des agences américaines. Celles-ci dans les audits qu’elles réalisent ont nécessairement accès à des données sensibles concernant des entreprises qui ne sont pas sur leur territoire… Or, de l’(in)sécurité économique à l’(in)sécurité diplomatique il n’y a qu’un pas.
En tout état de cause ce sujet touchant de très près au régalien peut, dans une certaine mesure, limiter les marges de manœuvre des agences de notation, aussi bien dans leurs process internes que dans leurs relations avec leurs clients.
Aussi pour que cette notation gagne en légitimité et que la « cybersécurité soit le facteur différenciant de la transformation digitale des entreprises » telle que F. Gratiolet l’appelle de ses vœux, la culture du risque cyber doit être développée dans toutes les strates de la société (utilisateurs, entreprises, agences de notation et pouvoirs publics).
Une cyber-vigilance à co-construire
En France, et plus généralement en Europe, si le marché de l’assurance cyber demeure embryonnaire – l’Europe représente moins de 10% du marché mondial – il est cependant exponentiel, les professionnels estimant sa croissance à près de 300 % ces deux dernières années.
Les deux crises cyber majeures précédemment citées (Wannacry et NotPetya.) ont offert une conjoncture favorable au développement du marché : en 2017, 40% des entreprises ont souscrit une cyber-assurance contre 26 % seulement en 2016.
G. Billois voit également des raisons structurelles à cette croissance exponentielle : d’une part les contraintes réglementaires déjà évoquées, et, d’autre part ; une opportunité de business à ne pas rater (cat bonds…) à l’heure où le marché traditionnel de l’assurance se contracte.
Si la cyberassurance présente des atouts certains, elle doit être abordée comme une étape intermédiaire entre la (relative) cyberignorance actuelle et une cyber-vigilance encore balbutiante. La culture du risque cyber doit être inculquée à tous niveaux : utilisateurs, entreprises, agences de notation et pouvoirs publics… Le Comité cyber du Club des Juristes, propose quelques pistes intéressantes en ce sens : le développement d’un cadre homogène de sécurité numérique, une mutualisation de la connaissance des incidents cyber, une définition européenne d’un ensemble de normes techniques facilitant l’évaluation du niveau de sécurité cyber des entreprises ou encore une priorisation de l’investissement public et privé vers l’émergence d’une filière d’excellence en cyber technologie.