Olivier Lopez : « L’objectif du rapport du Trésor est de favoriser le développement du marché de l’assurance du cyber risque »

Pouvez-vous nous expliquer ce qu’est le cyber risque ?
Olivier Lopez : Le cyber risque est un sujet très vaste. Cela couvre tous les incidents qui peuvent se produire quand les systèmes d’information sont détournés de leur utilisation première, que ce soit de façon involontaire comme l’incendie du centre de données d’OVH à Strasbourg il y a quelques années, ou volontaire comme les piratages informatiques pilotés par des groupes cyber criminels ou des Etats. 

Quels sont les principaux risques de la cybersécurité ?
O.L : Dans le domaine de la cyber assurance, ce sont pour le moment surtout les entreprises qui sont concernées. Il peut y avoir plusieurs types de risques de cybersécurité : celui de la perte d’activité d’abord si, par exemple, des machines et des équipements ne fonctionnent plus. Ça a été le cas des chaînes de production des usines Renault qui ont été bloquées à cause d’un piratage massif lors de l’attaque Wannacry. Les attaques peuvent aussi bloquer les systèmes d’information, les fichiers client, l’historique des commandes, les données de livraison, etc. Imaginez un site de vente en ligne piraté et indisponible pendant le Black Friday ou la période des fêtes de fin d’année…

Il peut même y avoir des risques corporels. On l’a vu avec la cyberattaque contre l’hôpital de Düsseldorf en Allemagne en 2020. L'hôpital était bloqué, ils ne pouvaient plus opérer de patients, l’un d’eux a dû être transféré en urgence dans une autre infrastructure et est malheureusement décédé durant le transfert. Plus près de chez nous, c’est l'hôpital de Corbeil-Essonnes qui a été pris pour cible par des pirates qui réclamaient une rançon pour débloquer les systèmes, avec la menace supplémentaire de divulguer les données des patients. 

Un autre risque est celui d’un blocage complet de la société s'il y a une cyberattaque massive sur des institutions comme des gares, des centrales nucléaires, etc. On parle alors de cyber ouragan. Ces différents scénarios-catastrophes sont étudiés par la Défense nationale, mais ils doivent aussi être abordés par l’ensemble des acteurs de la gestion des risques, assureurs et actuaires notamment.

Enfin, les entreprises visées par des attaques peuvent aussi subir des dommages liés à leur réputation en cas de fuite d’e-mails injurieux par exemple. 

Sorbonne Université a participé au groupe de travail sur la cyber assurance instauré par la direction générale du Trésor. En quoi est-on légitime sur ce sujet ?
O.L : Avec l’ISUP, Sorbonne Université dispense une formation de pointe en actuariat, c’est-à-dire dans le domaine de la quantification des risques. En assurance et en finance principalement, mais avec une vocation de répondre à l’ensemble des risques de la société et de contribuer à leur gestion. Nous délivrons 130 à 140 diplômes par an dans le domaine, la moitié en formation continue, ce qui fait de nous un interlocuteur privilégié dans le domaine.

Nous avons aussi, depuis 2017, un projet de recherche assez unique en Europe sur toutes les questions de cyber assurance, en partenariat avec l’ENSAE et la Fondation du Risque. A ce titre, Sorbonne Université s’est retrouvée dans le panel d’experts qui a contribué au rapport de la direction générale du Trésor. Avec nos collègues de l’Institut des actuaires, qui représente la profession actuarielle en France, nous avons cherché à transmettre notre approche scientifique et méthodologique sur ces questions dans l’analyse de ce risque cyber. Nous sommes très heureux d’avoir pu contribuer aux travaux des administrations de Bercy, ce qui est conforme à notre rôle de produire une recherche ayant vocation à être d’intérêt public.

Quel est l’objectif du rapport rédigé par le Trésor ?
O.L : Il faut savoir que le marché de la cyber assurance n’a pas encore trouvé sa convergence, son mode de fonctionnement, c’est en tout cas mon analyse en tant que chercheur. Le cyber risque est encore relativement peu assuré. Les entreprises ont des difficultés à appréhender ce risque et il est difficile pour les professionnels de l’assurance d’estimer ses impacts. 
Ce rapport doit permettre d’anticiper les risques mais aussi de fournir une réponse sur le plan de la protection financière et de la réparation des préjudices. 

Le travail de la direction du Trésor est très ambitieux, et, à mon sens, extrêmement positif si on espère que la France joue un rôle clé dans l’éclosion de ce nouveau segment d’assurance. L’objectif du rapport est de favoriser le développement du marché de l’assurance du cyber risque pour renforcer la résilience de notre économie, et on sent qu’il peut être le premier acte pouvant conduire à faire de Paris un pôle mondial d’expertise en la matière. 

Quelles actions vont en découler ?
O.L : Un certain nombre de recommandations ont été formulées. Outre clarifier le cadre juridique de l’assurance du cyber risque, je retiens, pour ce qui concerne mon domaine d’expertise, la nécessité de mieux anticiper et quantifier les risques. Si on veut les analyser et les modéliser, on a besoin de données. Il y a toute une réflexion sur la façon de structurer ces données afin de favoriser une meilleure mesure du cyber risque.

Je suis également convaincu que l’approche scientifique qui est la nôtre peut jouer un rôle important dans le développement de produits d’assurance innovants et dans l’émergence de bonnes pratiques. Pour le cas des rançongiciels par exemple, on ne répètera jamais assez qu’il faut absolument éviter de payer cette rançon. Les premiers travaux que nous menons dans le domaine montrent que ce n’est pas seulement un impératif moral, mais que ne pas payer est majoritairement le bon calcul, aussi bien sur le plan individuel que collectif. C’est un élément de plus pour convaincre d’adopter les bons comportements.

Retrouvez l’intégralité du rapport sur le site de la Direction générale du Trésor.