Ces derniers mois, trois sociétés ukrainiennes de services aux collectivités, l’autorité nationale israélienne de l’électricité et, plus récemment, une centrale nucléaire allemande ont été les cibles de cyberattaques. Les sociétés des secteurs de l’énergie, du transport et des télécommunications, mais également du secteur manufacturier, dépendent de plus en plus de l’automatisation, de la robotique et des réseaux numériques d’appareils connectés. Ces entreprises sont en outre de plus en plus vulnérables aux cyberattaques. Les attaques ciblant les infrastructures importantes et les sites de production ne visent pas à voler des données, mais touchent plutôt les systèmes de contrôle industriels en vue de prendre le contrôle des opérations ou de les stopper. Le dernier numéro de Global Risk Dialogue, le magasine d’Allianz Global Corporate & Specialty (AGCS) dédié à l’assurance et aux grands risques industriels, est consacré aux solutions pour limiter l’augmentation des risques numériques pour les réseaux des services aux collectivités et les usines intelligentes.
La vulnérabilité des systèmes de contrôle industriels, utilisés pour surveiller ou contrôler les processus dans l’industrie et la production, inquiète de plus en plus. À titre d’exemple, l’an dernier, les États-Unis ont recensé 295 incidents informatiques impliquant ces systèmes, soit une progression de 20%[i]. Nigel Pearson, directeur monde assurance “fidelity” chez AGCS, indique qu’une cyberattaque contre l’un de ces systèmes pourrait causer des sinistres à l’origine de dégâts matériels, tels qu’un incendie ou une explosion, ou encore une interruption d’activité. « Certains systèmes de contrôle industriels, encore utilisés par des entreprises de production ou de service aux collectivités, ont été conçus avant que la sécurité numérique ne devienne une priorité. » Les systèmes de contrôle industriels sont également vulnérables aux défaillances techniques et aux erreurs humaines, potentiellement plus fréquentes et plus graves en termes d’impact, et qui ne figurent généralement pas dans les rapports sur la cyber-sécurité.
Si les systèmes de contrôle industriels représentent un véritable enjeu pour le secteur des services aux collectivités, le secteur manufacturier peut également subir les dégâts matériels causés par des attaques numériques ou des interruptions d’activité. Les usines intelligentes de l’ère industrielle 4.0 dépendent de l’automatisation, de la robotique et des chaînes d’approvisionnement connectées. Du point de vue des assureurs, ce fonctionnement engendre aussi bien des risques que des opportunités.
« La surveillance constante et la maintenance prédictive des lignes de production automatisées réduiront la fréquence des pertes de faibles proportions et augmenteront la durée de vie des équipements », explique Michael Bruch, spécialiste des risques émergents chez AGCS. « Les chaînes d’approvisionnement seront mieux surveillées, plus prévisibles et offriront plus de visibilité grâce à des solutions de suivi optimisées et une baisse des pertes causées par la détérioration ou l’usure. Toutefois, l’interconnectivité des chaînes d’approvisionnement et des processus de production accroîtra la vulnérabilité aux incidents numériques, d’autant que les failles de sécurité présentes dans les codes de programmation des logiciels sont difficiles à détecter. Le risque global de pertes augmente considérablement, créant un fort potentiel d’accumulation, avec des demandes d’indemnisation plus importantes et plus complexes. ».
Le piratage d’un robot ou une défaillance technique de celui-ci pourrait entraîner une interruption de la ligne de production pendant des heures, voire des jours, et coûter des dizaines de millions de dollars par jour. Un algorithme qui ne fonctionne pas ou une panne des systèmes informatiques pourrait fortement perturber l’ensemble des chaînes d’approvisionnement et les pertes pourraient affecter l’ensemble des régions et les secteurs. Par ailleurs, les nouvelles technologies sont susceptibles de soulever de nouvelles questions en matière de responsabilité civile. À titre d’exemple, les développeurs et les distributeurs de logiciels de maintenance prédictive pourraient être mis en cause en cas de préjudices.
Comment prévenir et limiter efficacement l’accroissement des risques numériques dans l’industrie ? « Si le risque zéro n’existe pas, une stratégie globale de gouvernance pour les risques informatiques et numériques, impliquant différentes fonctions au sein de l’entreprise, se révèle indispensable pour y faire face », affirme Jens Krickhahn, expert en assurance cyber chez AGCS Europe centrale et de l’Est. « Les normes de sécurité informatique très strictes qui s’appliquent aux réseaux, logiciels et appareils mobiles, la sensibilisation des employés, l’optimisation constante des process et la gestion rigoureuse des droits d’accès, ainsi que les consignes, doivent concorder. Pour lutter contre les risques numériques qui persistent, l’assurance dédiée à ce type de menaces devient un élément clé de la gestion des risques pour nombre d’entreprises. »
À l’avenir, la numérisation changera également la nature des actifs des entreprises, dans le sens d’une dématérialisation croissante. La valeur et la réputation des marques, ainsi que la propriété intellectuelle, le savoir-faire technologique et les réseaux de la chaîne d’approvisionnement occuperont une place plus importance. Michael Bruch ajoute :
« Afin d’assurer une protection adéquate des actifs incorporels, la prise en charge des usines d’une société nécessitera de renforcer les couvertures portant sur les dommages numériques, les atteintes à la réputation et les dommages immatériels résultant de l’interruption d’activité. Il est indispensable d’optimiser les services de prise en charge des risques et d’en concevoir de plus innovants pour préparer les assureurs et les entreprises à la prochaine révolution industrielle. » Pour limiter les risques affectant la chaîne d’approvisionnement, par exemple, une assurance doit représenter plus qu’une simple police et offrir un ensemble de services comprenant l’analyse de risques, l’analyse comparative et des prestations de conseil visant à réduire la menace afin de contribuer au contrôle de la qualité et de la résistance. « Nous pouvons fournir des évaluations spécifiques à la localisation des fournisseurs des entreprises et les comparer au sein d’un même secteur », explique Volker Muench, Global Practice Group Leader dommages aux biens chez AGCS. « Plus nous disposons d’informations, plus nous serons en mesure de modéliser, de surveiller l’exposition et de proposer des couvertures importantes. »