«Cy­ber In­su­rance Sum­mit Swit­zer­land» 2024: œu­vrons en­semble à une plus grande cy­ber­sé­cu­rité

«Si un signal d’alarme retentissait à chaque fois que l'Office fédéral de la cybersécurité reçoit une notification, nous serions assez souvent dérangés dans notre travail», a déclaré Urs Arbter, directeur de l'Association Suisse d'Assurances, lors de son allocation de bienvenue. La récente déclaration de l’OFCS, selon laquelle un cyberincident est signalé en moyenne toutes les 8,5 minutes, n'est qu'un indicateur parmi d'autres pour le secteur de l'assurance que la menace provenant du cyberespace continue de croître de manière exponentielle. C'est la raison pour laquelle l'ASA a organisé ce premier «Cyber Insurance Summit Switzerland» au Kunsthaus de Zurich. Plus de 150 participants issus de l'informatique, de l'assurance, du conseil ainsi que des pouvoirs publics s'y sont réunis pour évoquer les cyberrisques et discuter de la manière dont la Suisse doit les appréhender. Monsieur Arbter a d'emblée souligné l'importance d’une telle collaboration, surtout au regard des risques liés à la cybersécurité.

Marc Henauer, responsable des affaires politiques et internationales à l'état-major de direction de l'Office fédéral de la cybersécurité (OFCS), a inscrit son discours dans la continuité de l'intervention d'Urs Arbter: l’OFCS a également besoin d'aide dans la phase de mise en œuvre de la cyberstratégie nationale. Monsieur Henauer considère que le rôle du secteur de l'assurance consiste, d'une part, dans la gestion et le calcul des risques et, d'autre part, dans la prévention. Et il a donné aux assureurs participants matière à réflexion: alors que les autorités ne sont guère en mesure, au regard de la longueur des procédures de consultation, d'imposer des normes minimales contraignantes et apportant des réponses concrètes aux problèmes actuels dans le domaine de la cybersécurité, ceci avec la réactivité requise, le secteur de l'assurance serait, lui, justement à même de combler cette lacune avec la célérité nécessaire. En imposant à sa clientèle le respect de certaines normes de sécurité, le secteur a un rôle majeur à jouer dans la génération d’une certaine cyberrésilience.

Si le secteur financier est au centre de l’attention, ce n'est pas uniquement pour les questions de gestion des cyberrisques, mais aussi parce qu'il peut être la cible potentielle de cybercriminels. Telles sont les déclarations d’Alexandra Arni, directrice générale de Swiss FS-CSC et responsable ICT auprès de l'Association suisse des banquiers (ASB). Pour affronter ces risques, une étroite coopération s’impose. L'association Swiss FS-CSC a pour mission la promotion de la coopération entre les établissements financiers et les pouvoirs publics dans le cadre d'un partenariat public-privé dédié à la prévention et à la gestion d'une attaque potentielle. À cette fin, l'association a récemment mis en place une cellule de coordination de crise capable de prendre en charge la coordination et la communication en cas de cyberincident majeur. «Seule l’union de nos forces nous permettra de faire face aux cyberrisques et surtout d’arriver à gérer une cybercrise systémique», a déclaré Madame Arni. Elle a donc exhorté les établissements financiers à réfléchir à la pertinence d’une adhésion au Swiss FS-CSC, lequel est passé de 55 à plus de 160 membres depuis sa création.

La présidente du comité de pilotage de la Cyberstratégie nationale, Maya Bundt, a rejoint les intervenants pour participer à la table ronde. Forte d'une large expérience dans le secteur de l’assurance, elle s’est ralliée à la thèse de Marc Henauer selon laquelle les assureurs sont en mesure de jouer un rôle crucial en matière de cybersécurité via la définition de normes minimales. «Pour l'instant, cela fonctionne plutôt bien, et nombre de PME améliorent leur maturité cybernétique parce qu'elles ont envie de souscrire une police d'assurance.» Elle a néanmoins également souligné les limites de ce phénomène: «Sur 99 questions qu’il aurait fallu poser sur les mesures de cybersécurité mises en place par les PME souhaitant souscrire une cyberassurance, les compagnies ne pouvaient dans la réalité en formuler que cinq environ il y a quelques années. Là aussi, le marché joue encore son rôle», a-t-elle commenté. Urs Arbter a ajouté que la tarification également pouvait contribuer à inciter à la prise de mesures en faveur d’une sécurité accrue en faisant payer plus cher à ceux qui présentent un risque plus élevé. 

La cyberassurance représente un marché en pleine croissance. La présentation de Gabor Jaimes, expert en cyberassurance de l'ASA, confirme le caractère indéniable de ce phénomène. Les chiffres collectés par l'ASA font ressortir un volume de primes amplifié de 18,5 pour cent par rapport à l'année précédente. Ce ne sont pas les augmentations de prix qui expliquent cette expansion, mais le fait que de plus en plus d'entreprises s'assurent contre les cyberrisques. Monsieur Jaimes a souligné que le taux de pénétration de 8,7 pour cent reste toutefois très bas. Il faut donc absolument arriver à sensibiliser les PME à ce risque. La feuille de route de l'ASA sur la cybersécurité, présentée par Gabor Jaimes à l’assistance, s’inscrit également dans ce sens. Quant à savoir quelle croissance affichera cette branche d’assurance encore balbutiante au cours des années à venir, les estimations varient du tout au tout. Swiss Re prévoit une croissance globale des primes de seulement 30 pour cent entre 2023 et 2027, tandis que Munich Re table sur une croissance de 106 pour cent pour la même période. «La manière dont la croissance se développera localement sur les différents marchés est aussi entre nos mains», a affirmé Gabor Jaimes.

C'est ce qu'a souligné René Buff, président du groupe de travail Cyber (ASA), Group Underwriting chez Helvetia, lors de la table ronde. Selon lui, il s’agit de mieux faire connaître l'offre de cyberassurance à la clientèle et de souligner qu’elle ne comprend pas uniquement une couverture financière, mais aussi des prestations de service. Daniel Tobler, Global Head Cyber Reinsurance auprès de Swiss Re, et Ursula Barnett, directrice des ventes chez EMEA Moody's (RMS), ont évoqué les difficultés liées à la modélisation du cyberrisque en raison de son extrême dynamique. Ces modèles commerciaux revêtent pourtant une grande importance pour le bon fonctionnement de la chaîne de valeur au sein du secteur.

Après la pause du midi, les interventions ont gagné en technicité: Ernesto Hartmann, Chief Cyber Defence Officer d'InfoGuard AG, a présenté aux participants le point de vue d'un analyste de la réponse aux incidents (en anglais, incident responder). Il a, lui aussi, insisté sur la grande vulnérabilité actuelle du groupe-cible des PME. Comme les grandes entreprises se sont équipées en matière de cybersécurité, les cybercriminels portent désormais davantage leur attention sur les PME. Il a donné un aperçu à la fois passionnant et effarant du «modèle économique» des cybercriminels et des chaînes d'approvisionnement au sein desquelles ils sont organisés de manière professionnelle.

Dans un exposé sur le Secure Swiss Health Network (SSHN), Urs Fischer, responsable Business Development & Innovation auprès du Health Info Net (HIN), a évoqué la recherche de l’Internet de demain (en anglais, next level internet), le Saint Graal de la cybersécurité. Le SSHN, basé sur la technologie SCION, apporte aux acteurs impliqués dans le secteur de la santé des avantages tels que résistance, robustesse, contrôle, confiance, interopérabilité et protection des données. Pour conclure son exposé, Monsieur Fischer a retourné la question à l’assistance: le secteur de l'assurance aura-t-il, lui aussi, besoin à l'avenir d'un Swiss Secure Insurance Network?

Lors de la table ronde consacrée à ces aspects technologiques, Andreas Schmitt, Global Cyber Underwriting Manager de la Zurich Insurance Company, est venu renforcer la voix du secteur de l’assurance et a présenté ses estimations des limites de l'assurabilité.

Dans la droite ligne de cet événement consacré au numérique, Tom Clementi, CEO de Pool Re, est intervenu en vidéoconférence et a proposé de jeter un coup d'œil par-delà les frontières. Pool Re a été fondée en Grande-Bretagne dans le but de rendre les risques de terrorisme assurables. Cette compagnie est considérée comme un modèle de partenariat public-privé ayant pour objectif d'assurer un risque qu'aucune des parties ne peut assumer seule. Pool Re existe donc pour corriger les défaillances du marché. Grâce à cet engagement, les compagnies d'assurances en Grande-Bretagne peuvent de nouveau inclure les risques liés au terrorisme dans leurs polices.

Le premier «Cyber Insurance Summit» s'est terminé par une séance de questions-réponses interactives, au cours de laquelle le public a une nouvelle fois eu la possibilité d’interroger les différents intervenants. Au regard de l'importance que revêt actuellement ce sujet pour le secteur, ce sommet ne devrait pas être le dernier.

Voir les photos