Les cyber-risques majeurs : Qu'en est-il de l'assurabilité ?

Le besoin des entreprises suisses en solutions contre la cybercriminalité est grand et croît avec une forte dynamique. Selon les "Global Digital Trust Insights 2023" de la société de conseil PwC, 73% des entreprises suisses estiment qu'il est urgent d'agir dans ce domaine. La cybercriminalité étant devenue l'un des risques majeurs les plus centraux, le déficit d'assurance pour les cyber-événements majeurs s'accroît au niveau national et international. Le symposium "Défis de la maîtrise des cyber-risques majeurs" organisé par Helvetia le 5 juin 2023 a permis d'attirer de manière offensive l'attention du public sur les problèmes aigus.

Une protection à peine suffisante contre les cyber-risques majeurs

"Certes, le secteur de l'assurance peut aujourd'hui bien couvrir les risques individuels - à condition que les entreprises investissent en conséquence dans la prévention et la sécurité des données", a déclaré Martin Jara, CEO d'Helvetia Suisse. "Mais pour les événements de grande ampleur, qui, avec un grand nombre de personnes touchées, peuvent aller bien au-delà des attaques individuelles, il n'existe actuellement pas de protection suffisante en Suisse". Selon lui, l'élément central doit être le développement de la résilience de l'économie suisse des PME : pas d'obligation, mais une prévention spécifique à la branche afin de continuer à permettre une indemnisation financière.

"Le triptyque de la résilience"

Alexandra Arni, responsable ICT de Swiss Banking et vice-présidente du Swiss Financial Sector Cyber Security Centre (FS-CSC), a expliqué à quoi pourrait ressembler une telle approche. Dans ce pays, la collaboration entre toutes les parties impliquées repose déjà sur le "triptyque de la résilience", à savoir la prévention, la gestion de crise et la réparation des dommages. Hans-Ulrich Bigler, directeur de l'Union suisse des arts et métiers (USAM), a fait remarquer que le principal pilier de l'économie suisse, à savoir les quelque 600 000 PME, était au moins aussi fortement touché par la menace des cybercriminels que les grandes entreprises et les exploitants d'infrastructures critiques pour le système. Il est donc important que les PME s'intéressent aux risques et prennent la prévention au sérieux.

Raphael Reischuk, partenaire et responsable de la cybersécurité chez Zühlke Engineering, a repris le fil de l'exposé de l'orateur précédent. M. Reischuk a souligné avec insistance que l'assurabilité des cyberrisques devait impérativement être garantie dans les meilleurs délais, pour le bien de la population, de l'économie et, en fin de compte, de la structure démocratique de notre société. M. Reischuk a montré comment cette thématique pouvait être abordée sur le plan technique à l'aide d'un système basé sur des données pour le recensement en temps réel des cyberrisques, qui permet d'obtenir une meilleure image globale de la situation, promet des incitations à réduire les cyberrisques et récompense les preneurs d'assurance par des primes d'assurance adaptatives.

L'administration et la science soutiennent une large collaboration

Le besoin d'une solution permettant d'améliorer l'assurabilité des cyber-risques majeurs et de regrouper les différentes compétences et expériences a également été entendu par les représentants de l'administration et de la science présents à la conférence. Florian Schütz, directeur du Centre national de cybersécurité (NCSC) et directeur désigné du nouvel Office fédéral de la cybersécurité, a souligné dans son intervention l'importance de la contribution des entreprises à une stratégie cyber conforme aux valeurs et aux principes nationaux. En fin de compte, l'économie est également intéressée à placer le thème de la cybersécurité en tête de l'agenda en tant que facteur de productivité. Le NCSC se réjouit en tout cas de l'attention croissante portée à l'assurabilité des cyberrisques. "Dans le cadre du débat national sur l'augmentation de la cyber-résilience et la minimisation des dommages économiques, le moment est venu aujourd'hui de mener cette discussion", a déclaré Florian Schütz.

Du côté scientifique, l'économie et les instances étatiques peuvent compter sur le grand savoir-faire de start-ups spécialisées et d'institutions nationales telles que l'École polytechnique fédérale de Zurich (EPFZ). Le professeur Florian Tramèr, expert en sécurité informatique, protection de la personnalité et apprentissage automatique au département d'informatique de l'EPF de Zurich, a montré à quel point la science s'occupe actuellement de ce thème et développe déjà des modèles d'avenir en impliquant l'économie et l'État.

Le secteur de l'assurance a besoin de meilleures bases et de modèles de risque appropriés

Jean-Philippe Moser, responsable du ressort Branches d'assurance à l'Association Suisse d'Assurances ASA, et David Ribeaud, CEO Specialty Markets chez Helvetia, ont souligné la volonté du secteur d'apporter sa contribution. Par exemple dans leurs efforts pour obtenir une base de données solide et des modèles de risque appropriés pour une meilleure assurabilité des cyberattaques. Parallèlement, les deux intervenants ont souligné la nécessité d'améliorer les bases afin de créer une cyber-résilience accrue de l'économie et de la société suisses. Les entreprises qui investissent dans la cybersécurité et la prévention auront de meilleures chances de trouver des solutions d'assurance appropriées.

Les chances d'acceptation politique sont bonnes

Et qu'en est-il de la capacité politique majoritaire de telles solutions ? Selon le conseiller aux Etats Werner Salzmann (UDC, BE), président de la Commission de la politique de sécurité du Conseil des Etats (CPS-E), les chances sont bonnes. En effet, la CPS-E considère depuis longtemps le thème de la cybercriminalité comme l'un des problèmes les plus urgents dans la situation sécuritaire actuelle. Toute initiative largement soutenue en dehors du spectre politique serait examinée avec bienveillance, a déclaré le politicien de l'UDC à l'occasion du cyber-symposium à Berne.

En tenant compte des positions exposées, l'ASA et les entreprises d'assurance affiliées élaborent les bases nécessaires au sein du groupe de travail "Cyber". Dans le cadre d'un symposium de suivi, les connaissances acquises seront ensuite discutées avec les acteurs et les éventuelles étapes ultérieures seront définies. Vu sous cet angle, il est réaliste de penser que la Suisse parviendra à établir, dans un délai raisonnable, une collaboration réaliste et soutenue par toutes les parties entre les principaux représentants de l'économie, de la science et de l'État. Il s'agirait d'une mesure pionnière au niveau mondial et d'une grande chance pour la place économique.

Source et informations complémentaires : Helvetia