Des économies sans filet en cas de cyberattaque majeure

C'est le scénario du pire. Moins mortel que le covid ou qu'une bombe atomique, mais suffisamment toxique pour se répandre dans toutes les strates de l'économie mondiale, comme un poison lent dont on ne prendrait la mesure que lorsqu'il serait trop tard.

Ce scénario, l'assureur Lloyd's of London le décrit dans l'un des nombreux rapports qu'il publie régulièrement sur ce sujet toujours plus sensible des cyberattaques.

Le premier marché d'assurances du monde anticipe cinq phases. La première, nommée "Invasion", ne dure que quelques secondes. Un virus est intégré subrepticement dans la mise à jour d'un logiciel utilisé par l'industrie financière pour confirmer les transactions. Il est envoyé simultanément à des milliers d'utilisateurs.

Dans les semaines suivantes, les hackers passent à la phase 2 et profitent de la faille qu'ils ont ouverte pour empêcher les utilisateurs d'effectuer les paiements. Les banques ne peuvent plus rien valider, et refusent de se prêter de l'argent entre elles. Le système financier est paralysé. Dans la phase 3, les hackers profitent de toutes les données confidentielles amassées pour détourner les fonds bloqués vers des comptes sous leur contrôle. Dans les mois suivants, les institutions spoliées consacrent l'essentiel de leurs ressources pour récupérer les sommes détournées, dans ce que le Lloyd's nomme "le jeu du chat et de la souris." La dernière phase rappelle les grandes crises financières: la confiance dans les marchés financiers, énergie première de l'industrie, est perdue. La réglementation se durcit pour prévenir de futures attaques.

"Hypothétique mais plausible"

Ce type de catastrophe "hypothétique mais plausible", où le système financier serait directement exposé, représente la principale menace cybernétique des 30 prochaines années. Plus grave encore, mais moins probable, serait l'infestation d'un virus qui mettrait à l'arrêt l'ensemble des entreprises (par exemple la mise à terre durable de Windows) ou le scénario extrême d'une panne totale avec perte définitive d'un grand nombre de données sensibles.

Le scénario purement "financier" envisagé par le Lloyd's dans son modèle de projection élaboré en partenariat avec le Cambridge Centre for Risk Studies coûterait jusqu'à 3.500 milliards de dollars à l'économie mondiale sur cinq ans. Les pertes atteindraient 1.100 milliards de dollars aux États-Unis. La Chine serait le deuxième pays le plus touché (470 milliards de dollars) devant le Japon (200 milliards).

"L'interconnectivité mondiale de la cybersécurité signifie qu'il s'agit d'un risque trop important pour qu'un secteur puisse y faire face seul, estime le président du Lloyd's Bruce Carnegie-Brown. Nous devons donc continuer à partager les connaissances, l'expertise et les idées innovantes entre les gouvernements, l'industrie et le marché de l'assurance pour garantir que nous renforçons la résilience de la société face à l'ampleur potentielle de ce risque."

Recherche d'alternatives

Le marché de la cyberassurance progresse rapidement puisque les primes d'assurances pourraient être multipliées par trois d'ici 2025. Ces primes - 25 milliards de dollars projetées en 2025 - représentent toutefois une infime fraction - à peine 1% - des pertes globales évoquées en cas d'attaque de très grande ampleur. Les grands groupes cherchent des alternatives. Un groupement de multinationales européennes, comptant notamment Airbus, Michelin, BASF, Solvay vient ainsi de lancer MIRIS, une mutuelle basée à Bruxelles, spécifiquement dédiée aux cyber risques.

Tout en appelant les entreprises et les États à se prémunir contre un scénario "majeur, sévère ou extrême" qui ne s'est encore jamais produit dans la jeune histoire de l'informatique, le Lloyd's a fait un pas de côté remarqué il y a six mois en cessant de couvrir les cyberattaques étatiques. Les pertes liées aux conflits armés entre États étaient déjà historiquement exemptées des polices d'assurance.

La diminution du champ de couverture répond à une évolution très orwellienne de la définition du mot "guerre", où le conflit prend des formes diffuses, permanentes, pernicieuses sans jamais être fatales, et sans autre but que de déstructurer l'ennemi, faute de pouvoir l'assujettir. Dans son rapport annuel sur les risques, le Forum Économique Mondial a classé la cybercriminalité de grande échelle et la cyber insécurité comme le troisième plus gros péril auquel fait face l'humanité dans les dix prochaines années, derrière l'ensemble des risques environnementaux et les risques de déstabilisation géopolitique.