L’assurance cyber : un jeu où l’information doit être partagée

L’assurance est un jeu à asymétrie d’information, et la maîtrise de celle-ci est clé dans la construction d’un modèle économique viable. C’est par la bonne connaissance du risque que peuvent s’anticiper les coûts futurs. L’assurance est en effet une industrie particulière, caractérisée par « l’inversion de la chaîne de production » : la prestation – versement d’une indemnité – n’est produite qu’après l’acte d’achat, et dépend du comportement du consommateur. Construire un produit d’assurance puis gérer le risque associé, c’est essentiellement un problème de prédiction. Expertise et modèles se nourrissent de l’information disponible pour quantifier la probabilité d’occurrence d’un sinistre.

Cette notion de jeu mathématique pourrait accréditer la vision de l’assurance comme théâtre d’un conflit. Au minimum, d’une opposition entre deux parties aux intérêts opposés. Assureur et assuré effectuent chacun un pari sur l’avenir, le prix résultant d’un équilibre entre leurs analyses respectives. Dans cet exercice d’anticipation, chacun effectue sa prédiction sur la base d’informations différentes, d’où l’asymétrie. L’assuré est en général considéré comme le mieux loti. Il connaît bien son degré d’exposition au risque : c’est précisément cette connaissance et la crainte qu’elle suscite qui a déclenché l’acte d’assurance. Il n’ignore pas non plus ses propres habitudes de comportement, susceptibles d’engendrer ou non un sinistre, de l’aggraver ou non. Vu sous cet angle, le questionnaire de souscription apparaît comme une parade de l’assureur, qui tente d’approcher le niveau de connaissance du risque de son assuré.

Cette vision d’une lutte assureur contre assuré occulte le réel bénéfice lié à leur coopération. Celle-ci est toujours nécessaire, ne serait-ce qu’à travers la prévention, dont les assureurs sont des acteurs majeurs : le meilleur moyen, pour un assureur, de ne pas avoir à régler un montant de sinistre, c’est encore que celui-ci ne se produise pas. Quant à l’assuré, il préfère en général éviter de faire l’expérience d’un événement redouté. Mais au-delà de la prévention, le cas de l’assurance cyber nous montre à quel point cette collaboration est vitale. Car le jeu est ici plus complexe. En plus de nos deux participants traditionnels, un écosystème malveillant s’invite comme troisième joueur, poussant ses propres pions avec ses propres règles.

Cette souplesse des attaquants rend le risque très complexe à cerner. C’est le premier problème : prédire devient plus ardu, et il n’est plus clair que l’assuré possède une meilleure connaissance du risque. En particulier, une PME ne disposant pas de l’expertise technique nécessaire, est incapable d’envisager une question aussi complexe que celle de la « probabilisation » d’une attaque. Elle attend parfois même de l’assureur qu’il joue ce rôle de sachant, à travers le diagnostic effectué à la souscription et son accompagnement au cours de la vie du contrat. L’assureur, dont le portefeuille enveloppe un grand nombre d’entités, aurait quant à lui la possibilité d’atteindre une compréhension globale du risque, quand chacun des acteurs individuels ne peut posséder qu’une vision floue et tronquée.

Néanmoins, cet apprentissage du risque est loin d’être aisé. Un travail de consolidation de l’information nécessaire à la quantification du cyber doit être effectué par l’assureur, et il ne va pas de soi. Une récolte tous azimuts de données non pertinentes risque de le noyer, en particulier concernant les données dites d’exposition : récolter une quantité trop importante de données intrusives sur le schéma de sécurité d’un assuré est coûteux. Pire, si l’assureur devenait dépositaire de données sensibles sur de nombreux acteurs, il se transformerait en cible de choix pour l’écosystème cyber-malveillant. La coopération entre assureur et assuré dans ce domaine du partage d’information est essentielle car l’intérêt est mutuel, et cet échange se doit d’être efficace et parcimonieux.

Allons plus loin, et arguons que cette coopération ne doit pas se cantonner à un échange bilatéral entre un assureur et son client. Elle doit concerner l’ensemble des acteurs bienveillants du cyber. Comme évoqué, le cyber n’est pas un jeu à deux joueurs. Au mieux, un jeu à deux camps, les criminels s’adaptant aux évolutions des pratiques des autres participants. Or, le camp malveillant pratique fortement le partage d’information. Le « Ransomware-as-a-service » (RaaS) et ses authentiques services clients pour utilisateurs de logiciels de piratage, en est un bon exemple. Cette capacité à coopérer donne un avantage énorme au camp malveillant, empêchant la convergence vers un équilibre économique. Au sein du camp « bienveillant », la concurrence entre les acteurs commerciaux (notamment assureurs) ne doit donc pas se faire via la rétention d’information. Si chaque acteur garde sa connaissance du risque pour lui-même dans l’espoir de conserver un avantage sur ses pairs, il ne peut que participer à une défaite collective dont les criminels seront les seuls bénéficiaires. Aucun acteur, même avec une surface mondiale, ne possède en effet, à lui seul, des données suffisantes pour évaluer la hauteur de la vague que peut représenter un phénomène cyber majeur. Or, l’enjeu est bien d’anticiper cette hauteur afin de bâtir les digues financières nécessaires.

Coopération ne veut pas dire entente ou collusion. La compétition entre assureurs reste nécessaire. Mais pour que celle-ci ne soit pas une simple compétition entre perdants, elle doit s’asseoir sur une meilleure vision du risque renforcée par le partage d’information. De tels mécanismes existent d’ores et déjà dans le secteur des risques naturels. Si l’on souhaite le développement d’offres mieux adaptées aux besoins de notre industrie, il faut que chaque acteur puisse pleinement déployer ses modèles (mathématiques, économiques, commerciaux). Le développement d’un environnement propice à une mesure correcte de risque est un pré-requis à cette innovation.