[Dossier cyber-assurance] objets connectés : la cyber-assurance doit passer un cap
Lorsque l’on associe assurance et Internet des Objets (IdO ou IoT), la première pensée est souvent tournée vers les opportunités assurantielles qui se profilent : création de nouveaux business models avec notamment le « Pay as/how you… », meilleure connaissance des assurés avec la collecte des données, réduction de la fraude, etc. Pour autant, en ajoutant le risque cyber dans l’équation, un nouveau besoin émerge. Comment s’assurer contre une attaque cyber dans le contexte de l’IoT ? Avec des prévisions annonçant près de 26 milliards d’objets connectés d’ici à 2020 et des niveaux de sécurité encore trop faibles, la question mérite d’être étudiée.
Une cible facile
Dans la course à l’innovation et à la commercialisation la plus rapide possible des objets connectés, la sécurité a souvent été négligée. Nombreux sont les objets commercialisés comportant des failles de sécurité, notamment liées aux technologies et aux protocoles de communication et d’échange utilisés. En 2015, des chercheurs américains ont publié une vidéo sur Internet où on les voyait piloter une Jeep à distance après avoir réussi à « pirater » l’ordinateur de bord de la voiture. L’exercice, bien que complexe et ayant nécessité des compétences spécifiques en cyber sécurité, a permis de mettre en avant la présence de failles de sécurité dans des objets connectés pourtant réputés fiables sur le marché.
Pour l’attaquant, l’IoT représente une mine d’or et les motivations d’attaques sont multiples : revente au marché noir des données dérobées, détournement de l’utilisation des objets connectés, possibilité de destruction grandeur nature, etc…
De fait, ce manque de sécurité de l’IoT et la variété des motivations possibles des attaquants se traduisent par une augmentation des cyberattaques à l’égard des objets connectés. Au vu des prévisions de croissance exponentielles concernant leur utilisation, la menace n’est pas prête de s’essouffler.
Des impacts qui dépassent le cadre du système d’information
La complexité de la gestion du risque cyber des objets connectés réside principalement dans la variété des impacts et la difficulté de les quantifier. En reprenant l’exemple de la Jeep, un attaquant mal intentionné aurait pu causer des impacts dépassant largement le cadre d’une cyberattaque « classique » : dégâts matériels, impacts humains… Plus largement, ces impacts complémentaires sont à mettre en relief avec la finalité de l’objet connecté, qu’il soit actif (interaction avec le « monde réel ») ou passif (limité à de la collecte de donnée), et avec l’ensemble des cas d’usage associés : santé, habitation, automobile…
Par ailleurs, l’IoT étant souvent synonyme de collecte de données en masse (une multitude de types de données est collectée sur un grand nombre d’utilisateurs), les conséquences d’une atteinte aux données en sont donc automatiquement décuplées.
La question de la responsabilité
Un des enjeux liés à l’IoT est également de définir la responsabilité de l’ensemble des acteurs de la chaine : qui sera responsable lorsque l’on prendra le contrôle d’un véhicule automatique causant un accident ? L’entreprise ayant développée l’outillage connecté « défaillant » ? Le constructeur automobile ? La réponse, qui dépasse le simple cadre contractuel, n’est pas aujourd’hui unique tant les réflexions des différents acteurs et institutions divergent. Quoi qu’il en soit, l’assurance doit être capable de prendre en compte cet enjeu et de le matérialiser dans ses contrats.
Une réponse assurantielle encore partielle
La cyber-assurance qui, comme son nom l’indique, a vocation à couvrir le risque cyber, ne répond que partiellement aux enjeux de l’IoT. S’intéressant principalement à l’atteinte aux données, elle trouve ses limites dans ce contexte. En effet, comme décrit précédemment, les impacts liés à l’IoT peuvent largement dépasser le cadre de la donnée et les frais à couvrir doivent être plus larges.
Mais pourquoi une telle frilosité dans la proposition de garanties des attaques envers les objets connectés ? Tous les acteurs sont d’accord pour dire que les risques associés sont difficilement identifiables, anticipables et réparables. Cela repose sur plusieurs aspects, le premier étant l’essor fulgurant de ces nouvelles technologies et le manque de connaissances qui en découle. Dans un contexte où l’innovation va de plus en plus vite, il est difficile de prendre le temps d’identifier et de quantifier les risques liés à l’apparition d’une nouvelle technologie. Se pose alors la difficile question d’assurer un risque dont les impacts ne sont pas (encore) maitrisés.
Pour autant, il s’agit là d’une réelle opportunité pour les acteurs de la cyber-assurance de repenser leurs offres et de passer un cap, en s’adaptant à l’évolution des usages et du risque cyber associé.
On l’aura donc compris, deux enjeux se distinguent pour gérer le risque cyber dans le cadre de l’IoT. Le premier est lié à la prévention du risque, en améliorant la sécurité des objets connectés. Un réel effort est requis de la part de l’ensemble des acteurs de la chaine pour se mettre au niveau. Le deuxième enjeu concerne la capacité à transférer le risque. Dans ce cadre, la cyber-assurance a un réel rôle à jouer, en s’adaptant aux usages et en proposant des solutions intégrant la spécificité de l’IoT.