L’industrie financière peut-elle reprendre en main la cybersécurité ?

Le constat est maintenant partagé par tous : les cyberattaques se multiplient, sont plus complexes, ont un impact parfois systémique de plus en plus élevé dans les entreprises, les administrations et parfois même les États. Le niveau de compétences nécessaires à contenir de tels phénomènes devient très élevé, en qualité et bien entendu en quantité. On se demande s’il y aura suffisamment d’ingénieurs pour maintenir un niveau d’attaque à un niveau raisonnable.

Tout le monde est à la peine, les petites entreprises, mais aussi les moyennes et maintenant les grandes comme elles l’ont récemment indiqué ; enfin, les premiers contrats de cyberassurance mis sur le marché ont rapidement avoué leurs limites, économiques et éthiques.

Pourtant il faut sortir de cette situation et trouver un ensemble de solutions qui ramènent le risque à des niveaux acceptables pour les uns et les autres, et que chaque acteur (entreprises, fournisseurs de solutions, prestataires) puisse raisonnablement gagner sa vie autour de ces difficultés.

La communauté des DSI seules semble ne pouvoir traiter le problème ; il faut donc trouver d’autres solutions. L’industrie financière a les moyens de rentrer dans le jeu. L’organisation est déjà en place et les planètes sont alignées. Pour comprendre, prenons l’exemple des vols de voiture ou des cambriolages au domicile des personnes.

Au début, il n’y a rien. Les biens sont détenus par des personnes privées. Les vols et cambriolages apparaissent, sans qu’aucune mesure de prévention, de protection financière ou de répression ne vienne les réguler. Leur fréquence augmente, les impacts également et le risque devient rapidement insupportable économiquement. Les assureurs apparaissent dans le paysage et s’organisent pour effectuer un transfert de risque vers un système de mutualisation, dans des conditions économiques acceptables par tous.

En regardant de près l’actuelle organisation de la fédération française des assurances (FFA), on observe un dispositif complet, constitué de nombreux organismes visant à réguler ce marché. Ainsi, l’ensemble des actions de prévention et de certification des serrures, par exemple, sont opérées par le centre national de prévention et de protection (CNPP), qui délivre des formations, des guides, et des certificats de conformité sur des serrures et coffres-forts par exemple (certifications A2P). Au-delà de la formation professionnelle, l’enseignement initial des cadres de l’assurance est effectué par l’école nationale de l’assurance (ENASS, aujourd’hui intégrée au CNAM).

Au-delà de la protection financière stricto sensu, les assureurs ont mis en place des mécanismes d’assistance, véritables centres d’appels opérant 24 heures sur 24 afin d’aider les assurés. Les fraudes à l’assurance sont combattues, analysées et dénoncées par l’agence de lutte contre la fraude à l’assurance (ALFA).

Les liens entre les assureurs et l’ensemble des instruments de place financière se font à travers la réglementation et l’influence de la FFA auprès de l’État, des parlementaires, de l’autorité des marchés financiers (AMF), et du régulateur, l’autorité de contrôle prudentiel et de résolution (ACPr). Pour connaître et comprendre le risque en amont, la mission risques naturels (MRN) analyse sur le long terme les tendances climatiques. L’évolution des métiers de l’assurance concernant ces sinistres est assurée par un observatoire ad hoc, l’OEMA. Enfin la question de la réparabilité des automobiles (comment réparer un véhicule plus vite, mieux et moins cher) est traitée par SRA (sécurité et réparation automobiles).

L’ensemble de ces organismes régule donc le risque, du fait générateur jusqu’à la réalisation du risque, son traitement et la remédiation, ainsi que le retour à la normale. L’ensemble de ces dispositifs est opéré hors État, et ramène le niveau du risque général, grâce à une prévention élevée, à un niveau résiduel qui est alors transféré à l’assureur. En comparaison, la gestion du risque en est encore à l’âge de pierre.

Le retard de l’industrie pour le traitement du risque cyber est abyssal. Il y a donc une marge de progression très importante. Que pourrait-il se passer, si l’industrie financière prenait l’initiative de reprendre en main un risque devenu majeur, parce que non traité de manière globale ?

Ce constat d’échec du traitement complet du risque informatique par les informaticiens seuls conduit à une remontée du contrôle du risque au niveau de la direction générale via la direction des risques (comme c’est le cas dans certains secteurs réglementés notamment la Banque), et ce obligatoirement sous peine d’inassurabilité.

Le risque cyber serait donc intégré à une politique de prise de risque générale de l’entreprise et non pas vu comme une difficulté technique ou encore un centre de coûts. Les assureurs pourraient étendre aux sinistres immatériels l’ensemble de leur dispositif d’organisation sectorielle sur la connaissance du risque à court terme (Threat Intelligence) et à long terme (veille tendancielle et renseignement en liaison avec l’Anssi, par exemple).

Des actions de préventions seraient rendues obligatoires comme le sont celles de l’Association Prévention Routière (pilotée également par les assureurs) par exemple. Les chefs d’entreprises seraient donc tenus de suivre des stages de prévention du risque cyber pour pouvoir tenir leur rôle de mandataire social.

Les composants du système d’information pourraient être évalués et certifiés comme le sont les serrures, sans doute dynamiquement, pour tenir compte de l’évolution de la nature et du niveau des attaques, avec obtention de certificats, permettant d’homologuer un niveau minimum de sécurité sur des critères précis, et donc de rendre l’ensemble des systèmes assurables.

Les formations seraient également labellisées, non seulement par l’Anssi sur le contenu technique, mais par l’industrie financière de façon à s’assurer que l’ensemble des notions de risque d’entreprise sont correctement enseignées, à bon niveau, notamment sous la responsabilité des mandataires sociaux.

La lutte contre la fraude à l’assurance en cas de cyberattaque serait également considérée conduisant, si nécessaire, à des poursuites. Le cadre réglementaire, notamment sous la responsabilité des mandataires sociaux, devrait logiquement évaluer : ne pas protéger les données de ses collaborateurs et de ses clients deviendrait donc une faute grave, voire un délit.

En contrepartie, bien entendu, l’industrie financière, toujours, pourrait agir de façon à valoriser l’actif cybersécurité comme un actif d’entreprise, inscrit au bilan, et présenté comme tel lors de fusions-acquisitions : si une entreprise peut être valorisée sur une base 100, une organisation de type « bunker » vaut sans doute 105 ou 110, quand une autre de type « passoire » ne vaudrait que 80 voire moins… Le différentiel entre la première et la seconde est donc un actif valorisable : la cybersécurité. La valorisation de cet actif peut alors être inscrite au bilan si la réglementation évolue.

Les relations avec les investisseurs pour les entreprises cotées pourraient ainsi être clarifiées sur ce point. Et ce, à l’image de ce qui a été fait il y a plus de 20 ans pour le passage à l’euro et le passage à l’an 2000, où les entreprises faisant appel au marché avaient pour obligation de formaliser dans les comptes de résultats transmis aux actionnaires, l’état de l’avancement des projets et le risque d’échec… La cybersécurité pourrait alors être financée comme tous les actifs et non comme un centre de coût.

Reste le sujet des compétences, car relever à ce point le niveau de cybersécurité des entreprises va demander beaucoup de ressources, y compris la nuit pour assurer un bon niveau de surveillance et de réactivité. La demande est très importante et fait déjà déraper les coûts. Là aussi, l’industrie financière pourrait soutenir l’initiative H24. On peut rappeler ici qu’elle consiste à mobiliser les Outre-mer, inviter les organismes de formation initiale en métropole à envoyer leurs étudiants en apprentissage dans les Outre-mer (ce qui permet de décharger les écoles et amphis en métropole), tout en suivant des cursus de formation homologués et pilotés par les écoles d’ingénieurs et les masters en métropole.

De quoi contribuer à l’armement de centres de cybersurveillance (SOCs et CRTs) placés dans les zones Caraïbes, Pacifique et Océan Indien, et permettant ainsi de profiter du décalage horaire dans un cadre nettement plus agréable et attractif que le travail de nuit. Le tout en continuant à poursuivre ses études et protéger les entreprises (en Métropole d’abord, le modèle pouvant être étendu à d’autres pays d’Europe).

L’ensemble de ces dispositifs existent et peuvent être très largement déclenchés par l’industrie financière, mais un accompagnement de l’État paraît également indispensable. Si l’on peut considérer qu’une dimension européenne soit nécessaire pour rendre l’ensemble viable et protéger ainsi l’ensemble de l’économie de la zone, la prochaine présidence de l’Europe qui doit être assurée par la France constitue alors une opportunité supplémentaire. Les planètes semblent donc s’aligner.