Vous avez dit assurance informatique ?

Le plus ancien club français en matière de sécurité informatique, le CLUSIF, fut à l’origine, dans les années 80, monté par des assureurs. Au passage, la méthode Marion a longtemps été « la » méthode d’analyse des risques, issue de cette perspective (Méthode d’Analyse des Risques Informatiques Organisés par Niveaux).

La question, celle de l’intérêt pour l’assurance du risque informatique, n’est donc pas récente. Pourtant, quelques 30 ans plus tard, on ne peut pas dire que les assurances aient inondé le marché de la sécurité informatique, qui se caractérise plutôt par de nombreux produits, des services ‘techniques’ et beaucoup de conseil. Voilà que l’article en référence revient sur le sujet en conjecturant que « La multiplication des incidents de sécurité et l’évolution attendue de la réglementation européenne sur leur divulgation, ainsi que sur les peines liées aux fuites de données personnelles, pourraient faire décoller, sur le Vieux Continent, le marché de l’assurance du risque informatique. »

L’article tourne en rond et s’appuie principalement sur l’idée suivante : « Un retard imputable notamment à l’absence, en Europe, de contraintes légales aussi fortes qu’aux Etats-Unis, avec des lois qui forcent les entreprises, souvent avec un coût considérable, à informer les personnes lorsque leurs données personnelles ont été compromises. »

Autrement dit, vu d’un point de vue d’assureur, il n’est que temps que des règlementations se mettent en place pour enfin imposer l’assurance comme un moyen de faire face aux risques de sanction ou amendes sur des sujets comme le respect de la protection des données personnelles.

Mais ce que ne dit pas l’article, il s’en garde bien, c’est de souligner l’aveu d’impuissance et même d’illusionnisme que font ainsi ces mêmes assureurs par ce biais. Et je généraliserai, la preuve que l’assurance dans le domaine informatique n’a, sauf quelques cas très spécifiques, tout simplement aucun sens réel ni aucune valeur tangible.

Selon Wikipedia, « Les conditions permettant l'assurabilité d'une chose sont l'aléa, c'est-à-dire l'imprévisibilité d'un événement dommageable en tant que tel ou d'une de ses caractéristiques (ex : date du décès), l'indépendance de la volonté de l'assuré (ex : divorce), le caractère licite de l'évènement (ex : impossibilité d'assurer les conséquences d'une condamnation pénale ou d'amendes). » Mettons de côté l’aspect licite, qui n’est pas technique mais relève de l’arbitraire législatif, et concentrons-nous sur l’aléa « imprévisible » et l’indépendance de la volonté.

De manière générale, la question de l’assurance informatique consiste à assurer les dommages subis à la suite d’un incident accidentel ou involontaire, tel une panne ou un piratage, ce qui correspond bien à la définition de Wikipedia.

Toutefois, même pour une panne, et ceci que ce soit en informatique ou dans tout autre domaine, un assureur n’accepte de s’engager que s’il constate que suffisamment de mesures sont en place pour rendre et la panne improbable et surtout les dégâts aussi limités que possible. La dimension volontaire n’est donc pas si « oubliée » que la définition l’induit.

Or cette définition assimile l’accident et la panne au piratage, certes involontaire, mais qui désormais n’a plus rien d’aléatoire, justement : le piratage est depuis longtemps passé d’un phénomène suffisamment erratique pour être vu comme aléatoire à un phénomène industriel et organisé dont tout le monde est victime ou du moins la cible à terme. Ne pas considérer le piratage lors de la conception ou l’exploitation d’un système informatique professionnel n’est autre désormais que de l’amateurisme ou de la plaisanterie.

La difficulté du sujet vient du fait qu’à la fois la prévention (faire en sorte que ni panne ni piratage n’ait lieu) et la limitation des conséquences (faire en sorte que les dégâts soient aussi limités que possible) est entre les main du candidat à l’assurance et constitue en fait un aléa en soit. Même si les mêmes technologies se retrouvent d’une entreprise à l’autre, elles s’organisent chaque fois différemment, sont configurées spécifiquement et manipulent des données propres. Allez m’expliquer que tout cela relève de l’involontaire.

Savoir si un système est perméable, peut facilement le devenir, et qu’en cas d’événement indésirable les mesures et procédures sont en place pour y faire face vite et bien relève d’une expertise de très haut niveau. Alan Turing dirait même que c’est tout simplement indécidable, et en effet, sous l’angle théorique, on ne peut trouver de méthode générale pour formuler la probabilité du risque ni son ampleur. Il ne peut tout simplement pas en exister.

Ou plutôt si : la seule qui ait un sens c’est que le piratage est certain et l’ampleur du dommage est de l’ordre de plusieurs jours d’indisponibilité de l’informatique, ce qui peut impliquer environ une semaine de chiffre d’affaires. Que celui qui sait faire vraiment mieux lève le doigt ! On en revient alors à une simple assurance d’exploitation comme il s’en pratique dans l’industrie, mais sans rapport avec les particularités de l’informatique.

Certains assureurs croient s’en sortir en assortissant leur contrat d’exigences de mise en œuvre des « meilleures pratiques » par leurs clients, pratiques supposées rendre le risque de piratage aléatoire et les dégâts limités. C’est ne pas voir que les systèmes sont garnis de failles grâce aux éditeurs rendus irresponsables et qu’il s’ensuit que les pirates trouvent constamment de nouveaux moyens d’entrer, malgré les meilleures pratiques. De plus, les meilleures pratiques s’émoussent avec le temps, font l’objet d’exceptions et deviennent « moins meilleures » chaque jour.

Enfin, dans certains secteurs, l’estimation des conséquences chiffrées d’une attaque sont une gageure. Si un industriel automobile se fait dérober les plans de son prochain modèle, perd-il pour autant tout ce futur marché ? Ou juste une part ? Probablement pas, mais s’il perd aussi les plans de production, c’est évidemment plus grave. Et comme on ne sait jamais que très difficilement ce qu’un pirate a pu exfiltrer, comment estimer les dégâts les plus probables pour s’assurer ? Nous sommes dans le domaine de la propriété intellectuelle et du virtuel, hautement non-évaluable.

On voit donc que l’assurance informatique ne peut guère dépasser l’approche assez primitive de la perte supposée d’exploitation, conditionnée à la mise en œuvre de pratiques et donc fort coûteuse. Le risque étant très fort pour ne pas dire certain, les primes ne peuvent que suivre et cela pose donc la question de l’efficacité de ce type de mesures, ce qui renvoie à l’article et à notre introduction.

On comprend donc que les assureurs, qui cherchent depuis des années à investir ce marché toujours croissant du risque informatique et qui pourtant leur résiste, souhaitent voir le législateur rendre leurs services obligatoires là où la réalité et le marché ne leur sont pas favorables. Encore une fois, la règle fonctionne : si des offreurs se sentent obligés de souhaiter l’intervention de l’état sur leur marché, c’est que leurs services sont soit inutiles soit peu performants. Notre exemple des assureurs informatiques ne fait pas exception.