Les cyberrisques, risques émergents
Les entreprises privées comme les entreprises publiques dépendent aujourd'hui des systèmes informatiques, ceci quels que soient leurs domaines d’activité. Elles sont, de fait, très exposées et, donc, particulièrement vulnérables aux dysfonctionnements dus à de potentielles cyberattaques.
La complexité de la sécurité de l’information est en constante évolution, et les risques afférents sont souvent sous-estimés. La sécurité de l’information comprend entre autres la protection de la confidentialité des informations et des données (confidentiality), la protection de l’intégrité des données (pas de modification possible par des tiers non autorisés ; integrity) et la garantie de la disponibilité des systèmes informatiques dits « critiques », comme ceux des systèmes de paiement, des hôpitaux ou de l'approvisionnement en énergie. Différentes catégories de risques sont identifiables :
- défaillance ou interruption des infrastructures critiques des technologies de l'information et de la communication (Critical Information Infrastructure = CII-Breakdown) telles que l'approvisionnement en électricité et les entreprises de transport ;
- sécurité des données et des informations en ligne (online data and information security, par exemple, l’informatique en nuage [cloud computing]) au regard de la perte éventuelle de données ou de modifications malveillantes de données ;
- vol d'informations (cybervol) ;
- espionnage informatique (cyberespionnage) ;
- guerre de l'information et cyberterrorisme (cyber war and cyber terrorism).
Les dangers liés à l'Internet sont multiples et comprennent les traditionnels virus, vers, chevaux de Troie et logiciels espions, qui peuvent entraîner la perte irrémédiable de données, l'atteinte à la vie privée, la divulgation de secrets professionnels ou d'informations sur des partenaires commerciaux. Parmi les risques figurent également des activités telles que l'hameçonnage de données (phishing), qui peut par exemple conduire à l'utilisation frauduleuse de cartes de crédit, les courriers indésirables (spams), en général juste agaçants et chronophages, ainsi que les « cryptoverrouilleurs » – (cryptolockers en anglais ; également appelés virus de cryptage, chevaux de Troie de chantage ou rançongiciels [ransomware]) – qui rendent les fichiers illisibles et peuvent généralement être décryptés contre le paiement d'une rançon en crypto-monnaies telles que le « Bitcoin », « Ethereum », etc. Vous trouverez des détails sur ces différents dangers après des sources suivantes :
Le Centre national pour la cybersécurité (NCSC) propose des informations actualisées sur la sécurité des systèmes informatiques et de l'Internet ainsi que sur la pro-tection des infrastructures critiques suisses.
Outre des rapports semestriels détaillés, le NCSC publie une lettre d'information et alimente un blog sur la situation actuelle en matière de cybersécurité. En Suisse, les tentatives d’escroqueries, d’hameçonnage ou de chantage se sont nettement multipliées (rapport semestriel 2/2021). Parallèlement, les événements ci-dessous sont cités à titre d’exemples :
- Tentatives de manipulation de l'approvisionnement en eau en Floride
En février 2021, le curseur de la souris d'un ordinateur chargé du système de traitement de l'eau potable d'Oldsmar, en Floride, s'est mis à bouger tout seul. Le technicien de service a tout juste eu le temps d'intervenir alors qu'un intrus tentait à distance de faire monter la teneur d'hydroxyde de sodium à un niveau dangereux pour la santé. Ce dernier avait réussi à accéder à l’appareil de commande du traitement de l’eau par le biais d'un logiciel d'accès à distance insuffisamment sécurisé, qui a bien failli être fatal à l'infrastructure de la ville. - SITA : Vol de données concernant les passagers
Le premier fournisseur mondial de systèmes d'enregistrement de passagers de l'industrie aéronautique (Société Internationale de Télécommunications Aéronautiques (SITA)) a été la cible d'une cyberattaque. Les données des passagers de diverses compagnies aériennes ont ainsi été « récupérées ». L'incident a touché des serveurs sur lesquels sont stockées les données des passagers de diverses compagnies aériennes.
Exemples tirés du rapport de l'Office fédéral de la sécurité des technologies de l'information (BSI) « Die Lage der IT-Sicherheit in Deutschland 2021 » (État des lieux de la sécurité informatique en Allemagne en 2021) :
- Attaque de rançongiciel contre un hôpital universitaire en Rhénanie du Nord-Westphalie
Le 10 septembre 2020, une attaque de rançongiciel aux conséquences non négligeables s'est produite dans un hôpital universitaire. Il s’agit de l'un des six hôpitaux universitaires de Rhénanie du Nord-Westphalie (NRW), piliers des soins aux patients dans le Land le plus peuplé d'Allemagne et à la pointe de la recherche et de l'enseignement. Il semble que les malfaiteurs ne visaient pas en premier lieu les soins ambulatoires ni stationnaires délivrés aux patients, mais plutôt l'université elle-même.
En dépit de cette attaque, l’hôpital a pu fournir les soins médicaux aux patients déjà hospitalisés, mais n’a pas pu assurer les soins d'urgence pendant treize jours consécutifs en raison de la panne de ses systèmes centraux. Les traitements planifiables et ambulatoires ont été annulés ou reportés, et l'admission de nouveaux patients a été suspendue.
- Cyberattaque de DarkSide (ransomware-as-a-service) contre la compagnie Colonial Pipeline
Le 7 mai 2021, l'exploitant d’oléoducs américain Colonial Pipeline Company a été victime d’une cybe-rattaque contre son infrastructure informatique. Colonial Pipeline Company se présente comme l’exploitant du plus grand système d’oléoducs pour produits raffinés aux États-Unis. La compagnie occupe une position-clé dans l'approvisionnement des clients en produits raffinés le long de la côte Est des États-Unis. Du fait de l'attaque, l'exploitant de l'oléoduc a déconnecté son réseau administratif et a dû suspendre l'exploitation de l'oléoduc par mesure de précaution. Cette suspension a provoqué des pénuries régionales et un effet de panique suivi d’achats en masse, notamment d'essence.
Ces derniers temps, les déclarations de vol, de falsification ou de destruction de données personnelles enregistrées électroniquement, comme les informations relatives aux cartes de crédit ou les données médicales (par exemple dans les hôpitaux), par des pirates informatiques ont augmenté. Selon le Beobachter, près de 3000 entreprises en Suisse ont été victimes de cyberattaques en 2020 . Les nouvelles technologies, telles que l'informatique quantique (quantum computing), permettent un décryptage beaucoup plus rapide des codes de sécurité / mots de passe et risquent à l'avenir de provoquer une multiplication exponentielle des cyberattaques contre les entreprises suisses si elles sont utilisées par des personnes malintentionnées .
Sont concernées toutes les entreprises et, de manière générale, les organisations devant stocker une grande quantité de données personnelles (par exemple données concernant les collaborateurs, les clients, les patients) pour l’exercice de leur activité. Elles sont tenues de mettre en œuvre des mesures adéquates pour la protection des données personnelles, la sécurité des données et leur récupération et de veiller à leur bonne application (devoir de diligence). Cela implique également des mises à jour régulières ou le remplacement de logiciels afin de combler d'éventuelles failles de sécurité. La cyberattaque « Wanna Cry » de mai 2017 a clairement démontré qu'il est indispensable de vérifier régulièrement les logiciels et de procéder aux adaptations correspondantes. Cette attaque a paralysé des dizaines d'hôpitaux en Grande-Bretagne, entraîné des pannes des chemins de fer allemands et perturbé les chaînes de production du constructeur automobile Renault. Au sein du National Health Service (NHS ; système de santé du Royaume-Uni), cinq pour cent environ des ordinateurs fonctionnent avec le système d'exploitation Windows XP qui n'est pratiquement pas protégé. « NotPetya », un logiciel malveillant visant la destruction de données et se propageant comme un ver, a été utilisé en 2017, essentiellement pour nuire à l'Ukraine. Or, un grand nombre d’entreprises actives à l’international ont également été touchées ; ces victimes collatérales ont subi d’importants dommages comme le logisticien Maersk (300 millions de dollars de dommages) ou l'entreprise pharmaceutique Merck (1,4 milliard de dollars de dommages). Lors des processus de couverture, les cyberassureurs ont argumenté que la cyberattaque consistait en un instrument de la Fédération de Russie et s’inscrivait dans le cadre des hostilités permanentes contre l'Ukraine. Par conséquent, ce dommage ne serait pas assuré du fait de l'exclusion « ... des dommages causés par des actions hostiles ou belliqueuses en temps de paix ou de guerre ». Il reste à voir dans quelle mesure cette argumentation résistera à un jugement du tribunal. Ce cas constitue un excellent exemple de l'importance d'une formulation précise des exclusions.
Par ailleurs, les exigences légales se renforcent, notamment sur l’attitude à adopter en cas de perte de données. Aux États-Unis, toutes les personnes touchées doivent être informées d'un tel incident et, dans de nombreux cas, se voir proposer une surveillance (credit watch) afin de prévenir l'utilisation abusive de leurs cartes de crédit. Ces mesures entraînent des coûts supplémentaires.
Perception du risque
L’économie est tributaire des systèmes d’information, c’est indiscutable. La presse quotidienne publie régulièrement des articles sur les perturbations et les attaques illégales de toutes sortes de systèmes d'information. Les cyberattaques visent non seulement les données des particuliers et des entreprises, mais aussi des chaînes d'approvisionnement entières ; ces dernières peuvent d’ailleurs également être touchées comme simples victimes collatérales.
Pertinence en matière de responsabilité civile
Aux États-Unis et au Royaume-Uni, les pertes de données (confidentielles) débouchent de plus en plus sou-vent sur des actions en dommages et intérêts. Cette tendance s’observe également en Europe (et en Suisse). Il ne fait aucun doute que l'atteinte intentionnelle et illicite à des infrastructures critiques, ordinateurs, réseaux, données, etc., constitue un cas de responsabilité civile, même si les auteurs seront difficiles à identifier en cas d’actes de cybercriminalité. Si la personne assurée a contribué au dommage par son comportement, notamment du fait d’une manipulation négligente des données et / ou en raison d'une sécurité insuffisante des données, elle peut alors également être tenue pour responsable.
La responsabilité civile découlant de l’infraction au devoir de diligence des exploitants de systèmes informatiques et des fournisseurs d’accès à Internet (ISP) pour des dommages consécutifs est également tout à fait concevable (par exemple dommages corporels dans les hôpitaux, mais aussi dommages matériels ou atteintes à l'environnement).
Pertinence en matière d’assurance de la responsabilité civile
Assurance de la responsabilité civile d'entreprise
Les dommages corporels et matériels résultant du dysfonctionnement des systèmes informatiques sont assurés. Au regard de la quatrième révolution industrielle (industrie 4.0) et de la mise en réseau généralisée des machines, ce scénario est de plus en plus probable même si la sécurité informatique occupe désormais une place importante dans la stratégie de tous les types d'entreprises. Les dommages purement pécuniaires résultant de l'interruption de systèmes d'infrastructure et d'information critiques (comme les centrales électriques) peuvent être assurés en partie.
Sous réserve d’exclusion explicite des cyberrisques (par exemple CGA assurance responsabilité civile d'entreprise ou CGC Perte d'usage), les prétentions découlant de la responsabilité civile légale pour les dommages corporels, matériels ou purement pécuniaires peuvent être coassurées (couvertures silencieuses des cyberrisques, « silent cyber » cover).
Le problème des cybercouvertures « intentionnelles » dans l'assurance responsabilité civile d'entreprise traditionnelle est un peu moins prononcé qu’en assurances de choses, mais ne doit pas être sous-estimé pour autant. Un logiciel de commande défectueux ou une cyberattaque sur le logiciel de commande d'une machine peuvent par exemple entraîner des dommages corporels ou matériels lors de l’emploi de celle-ci. Ce type de dommages est en principe couvert par les assurances responsabilité civile d'entreprise ; or, il se peut qu'il ne soit pas suffisamment pris en compte dans les primes en raison du manque de recul en matière de sinistres.
Il en va autrement des éventuelles extensions de couverture – intentionnelles ou non – dans les assurances responsabilité civile d'entreprise, qui peuvent entraîner une double couverture par le biais de cyberassurances spéciales. Par exemple, l'extension de la notion de dommage matériel aux pertes de données sans dommage matériel préalable, la couverture de certains dommages économiques purs (dommages pécuniaires) à la suite d'un cyberincident (comme le non-respect des droits de la personnalité ou la responsabilité civile des médias), les frais de reconstitution de ses propres données, etc. De telles extensions de couverture peuvent s’avérer problématiques et entraîner des doubles couvertures involontaires. Il convient d'accorder une attention particulière à la formulation des conditions afin d'éviter tout litige portant sur l’étendue de la couverture.
Assurance responsabilité civile professionnelle (prestataires de services informatiques, fabricants de logiciels / de matériel, etc.)
Les dommages économiques purs (dommages pécuniaires) résultant d'une prestation de services non conforme sont assurables. En règle générale, les conventions de services prévoient toutefois des limitations de responsabilité.
L’offre de cyberassurances spéciales se multiplie au niveau international, mais aussi sur le marché suisse de l'assurance. En général, ces produits couvrent les dépenses entraînées pour la reconstitution des propres données et les pertes de revenus résultant de l'interruption de l'exploitation (couverture des risques propres, first party coverage) ainsi que les prétentions de tiers au titre de la responsabilité civile légale (assurance de tiers, third party coverage) pour les dommages liés par exemple au non-respect des droits de la personnalité et à l'utilisation abusive des informations de cartes de crédit.
Assurance responsabilité civile D&O
Des contrôles inadéquats et des normes de sécurité insuffisantes peuvent entraîner des dommages financiers importants, voire la faillite de l'entreprise. Les responsables de l’entreprise risquent dès lors de devoir répondre de ces manquements devant les tribunaux. En règle générale, les polices d'assurance ne prévoient pas d'exclusion pour les dommages liés à une sécurité informatique déficiente.
Horizon temporel pour les prétentions assurées
Le problème est d'actualité. L’ensemble de ces risques peuvent entraîner à tout moment l’élévation de prétentions.
Définition «risques émergents»
Les nouvelles technologies et l’évolution de la société moderne sont porteuses de nouvelles opportunités, mais aussi de nouveaux risques. Ces risques d’un nouveau genre concernent notre vie future. Du fait de leur évolution dynamique, ils sont difficiles à identifier et à évaluer; c’est ce que l’on appelle les risques émergents. La notion de «risques émergents» n’est pas définie de manière uniforme. En assurance, elle désigne habituellement les risques possiblement susceptibles de survenir dans le futur et affichant une potentialité de sinistres élevée.