Ce n’est pas un hasard si le secteur automobile fait partie des mieux couverts contre le risque cyber. Caarea a interrogé ses trois partenaires, Scor, Swiss Re et Munich Re, sur l’émergence de ce nouveau risque, qui touche les constructeurs en tant qu’industriels, mais aussi les utilisateurs de leurs véhicules. Les trois réassureurs européens soulignent la maturité des constructeurs face au risque cyber. En revanche, maturité n’est pas toujours synonyme de sécurité. Ce risque évolue, en témoigne la forte hausse des ransomwares ces deux dernières années. Il est aussi à l’affut de nouvelles failles, telles que pourraient justement en comporter aujourd’hui les véhicules connectés et, demain, les voitures autonomes.
« Au niveau corporate, les constructeurs autos ont une connaissance pointue de leur exposition au risque cyber, mais aussi du coût que cette menace pourrait représenter si elle se matérialisait », explique en préambule Thomas Schnitzer, Senior Cyber Risk Analyst chez Swiss Re. Au premier rang de leurs inquiétudes, une demande de rançon ou une attaque qui serait en mesure d’interrompre les lignes de production et entraîner des pertes financières élevées.
Face à ces risques, cela fait déjà près d’une décennie que les constructeurs se sont couverts grâce à des offres d’assurance dédiées. « Le risque cyber qui s’exerce aujourd’hui sur les acteurs industriels est relativement bien cerné. Il fait l’objet d’une offre d’assurance qui s’est standardisée au fil des années, tout en demeurant adaptée aux particularités internes de chaque entreprise », explique Andreas Schlayer, Senior Underwriter Cyber chez Munich Re.
De la difficulté de cerner le risque…
Une offre standardisée, certes, mais cela ne signifie pas pour autant qu’elle soit en mesure de couvrir l’intégralité du spectre des menaces. « Les risques les plus matures sont aussi ceux qui sont le plus difficilement assurables, comme par exemple le vol de données ou de propriété intellectuelle, qui effraient aujourd’hui les constructeurs », complète Andreas Schlayer. Ces derniers ont en effet une conscience de plus en plus aigüe de la nécessité de protéger leurs données, à mesure que leur offre évolue. « Les acteurs premium proposent désormais des services liés à la mobilité qui, par essence, collectent les données des conducteurs. Cette typologie de risque pourrait être amenée à devenir plus prégnante, à mesure que nous avançons vers une économie du partage, notamment au niveau des flottes de véhicules », confirme ainsi Camille Baldeck, Engineering and Cyber Underwriter chez Swiss Re. Sans compter que la liste des risques non – ou difficilement – assurables ne s’arrête pas là. Risque de réputation, de vol de propriété intellectuelle ou de la recherche, mais aussi risque d’interconnexion entre les systèmes IT, sont autant de points de vulnérabilité qui ne peuvent faire l’objet d’une protection standardisée et demandent des réponses spécifiques.
… à la protection du constructeur
Aujourd’hui, assureurs et réassureurs accompagnent donc principalement les constructeurs automobiles face aux menaces d’interruption d’activité, de demande de rançon ou de vols de données, et dans la restauration de leurs activités. « A l’heure actuelle, les constructeurs privilégient la couverture de catastrophe, avec des limites de responsabilité élevées, plutôt qu’une couverture de fréquence. Les acteurs américains ont été les premiers à souscrire de telles assurances, suivis par les Européens. Les Asiatiques sont un peu en retrait », précise Andreas Schlayer, de Munich Re. Une fois encore, derrière l’apparente standardisation de l’assurance cyber, c’est bien la flexibilité qui est de rigueur. Pas de police pluriannuelle, chaque année, l’exposition au risque des constructeurs est réévaluée. L’aspect transverse, parfois agrégé, du risque cyber bouleverse également la façon de travailler des assureurs, habitués à gérer les risques en silos. « Nous nous sommes basés sur notre expérience dans les risques industriels et la garantie dommages, puis l’avons adaptée au risque cyber. Nous nous basons sur des scenarios, aussi bien pour initier le dialogue avec les constructeurs que pour établir des estimations de coûts. Le dialogue est donc essentiel avec le constructeur. Il se passe tant au niveau de la direction, là où le risque cyber se traite, qu’avec les équipes IT et OT », détaille Andreas Schlayer. Thomas Schnitzer, de Swiss Re, attend désormais des avancées en faveur d’une plus grande standardisation des process d’évaluation du risque et de leur documentation. En effet, si la révision des assurances cyber est bien annuelle, son processus est loin de faire l’objet d’une procédure standardisée. Un audit du risque par un tiers indépendant permettrait pourtant une meilleure prise en compte des éventuelles failles de l’assuré.
Mais qui protègera le conducteur ?
« Le prochain enjeu d’envergure en matière de risque cyber va émerger avec la pénétration sur le marché du véhicule connecté, puis autonome, estime Florian David-Spickermann, Business Analyst chez Scor. Un risque qui n’est encore que peu adressé par les constructeurs. » Un risque qui pose également une complexité supplémentaire, puisqu’il implique directement les utilisateurs des véhicules. Depuis le début des années 2010, les véhicules connectés tracent en effet petit à petit leur chemin – même si la vision de voitures autonomes de niveau 5 roulant sur des routes européennes relève encore de l’hypothèse plus que de la réalité. « Ce n’est pas seulement un effet de la technologie, mais plutôt de la législation. L’environnement légal n’évolue pas à la vitesse des innovations », constate Camille Baldeck, de Swiss Re.
Pour l’instant, c’est bien la législation qui régit la protection en cas de sinistre causé par un véhicule, y compris connecté. Sans modification de la législation actuelle, les véhicules connectés peuvent être assimilés à des véhicules « traditionnels » et, par conséquent, soumis à la législation nationale. Cependant, ce point nécessitera une clarification. « En Europe, la législation vise la protection de la victime. Le dommage est donc à la charge du propriétaire du véhicule et sera couvert au travers de la responsabilité civile. Un parti pris qui est aussi celui de la Corée du Sud par exemple, qui a promulgué son « Compensation Guarantee Act » en octobre 2020 », souligne Florian David-Spickermann. Le véritable enjeu, c’est de voir ce qui va se passer quand la législation va évoluer, ouvrant le marché aux véhicules autonomes. « La Chine est capable de modifier sa législation rapidement. Les premiers besoins en assurance cyber sur les flottes de véhicules pourraient émerger en Asie », poursuit le représentant de Scor. De plus, avec la nécessité d’élargir les couvertures nécessaires pour intégrer un certain degré de risque cyber, l’industrie fera face à la difficulté de gérer des niveaux très divers d’exposition des véhicules à la connectivité – cela se traduira par des formes de responsabilité mêlant véhicules traditionnels et véhicules autonomes pendant une période de temps relativement longue. »
Reste à concevoir l’offre en mesure de couvrir le risque pesant sur les véhicules autonomes ainsi que connectés, car les dommages peuvent être bien réels pour le conducteur et son bien. « Faut-il encore parvenir à définir le périmètre de ce risque. Bien sûr, un logiciel malveillant peut être installé sur un véhicule, et faciliter ensuite son vol par exemple. Mais le risque peut aussi être détourné. Ainsi, un autocollant sur un panneau suffit à biaiser son interprétation par le véhicule autonome. Enfin, le risque est d’ampleur multiple. Il peut toucher des véhicules individuels – et je crois à une criminalisation dans ce domaine – mais aussi se matérialiser par une attaque de grande ampleur sur une flotte entière », détaille Florian David-Spickermann.
Si les assureurs travaillent le risque cyber sur la base de scenarios dont le périmètre est en perpétuelle évolution, la question de la responsabilité des dommages constitue également un défi de taille, car la réponse varie selon les marchés. En Europe, elle a, pour l’instant, le mérite d’être, dans une certaine mesure, encadrée. Du fait de la prédominance du régime de responsabilité de plein droit, le propriétaire sera responsable en cas de sinistre résultant d’une cyber-attaque ou d’une faute technologique, si un tiers subit un dommage. N’en demeure pas moins que nulle législation n’est gravée dans le marbre et que l’innovation, elle, n’entend pas rester figée. A nous désormais, Caarea, aux côtés de nos partenaires réassureurs, de poursuivre également nos innovations en matière de protection contre ces risques nouveaux. Et d’apporter ainsi une solution aux constructeurs de voitures toujours plus efficientes, que leurs clients voudront pouvoir les conduire en toute sérénité.