Le premier symposium cyber d’Helvetia aborde le thème des «Défis posés par la gestion des cyberrisques majeurs». Les mondes économique, scientifique et politique et la branche de l’assurance se sont réunis pour discuter de solutions efficaces. Face aux cyberattaques systémiques qui nécessitent une capacité de couverture élevée, le déficit d’assurance ne cesse de croître. L’économie a un fort besoin de mesures de prévention, de conseil et de réparation à prix abordable. La lutte contre la cybercriminalité exige des mécanismes de protection systématiques, se traduisant notamment par un renforcement de la prévention et de la mise en commun des expertises dans la mise en place de dispositifs efficaces. Le développement de la cyberrésilience par la collaboration entre l'économie, l'Etat et la science est un atout de poids pour la Suisse.
Les entreprises suisses ont un énorme besoin de solutions pour contrer la cybercriminalité, besoin qu’une croissance dynamique ne fait que renforcer. Les «Global Digital Trust Insights 2023» de la société de conseil PwC montrent que 73% des entreprises suisses considèrent qu’il y a un besoin urgent d’action dans ce domaine. La cybercriminalité devenant l’un des principaux risques majeurs, le déficit de couverture d’assurance pour les cyberévénements majeurs ne fait que se renforcer, tant au niveau national qu’international. Le Symposium sur les «Défis posés par la gestion des cyberrisques majeurs» organisé par Helvetia ce 5 juin 2023 a permis de sensibiliser le grand public de manière forte sur l’acuité caractérisant ces problématiques.
«Le secteur de l’assurance est aujourd’hui tout à fait en mesure de couvrir de manière satisfaisante les risques individuels – à condition cependant que les entreprises consentent les investissements nécessaires dans la prévention et la sécurité des données, déclare Martin Jara, CEO d’Helvetia Suisse. «Mais il n’existe actuellement en Suisse aucune protection suffisante pour les événements majeurs qui, parce qu’ils touchent un très grand nombre de personnes, dépassent de loin les attaques individuelles», poursuit-il. Une solution qui s’articulerait autour de la mise en place d’une résilience des PME suisses: non pas une obligation, mais une prévention de branche spécifique, de manière à permettre le maintien d’une compensation financière.
«Les trois temps de la résilience»
Responsable de l’unité ICT de Swiss Banking et vice-présidente du Swiss Financial Sector Cyber Security Centre (FS-CSC), Alexandra Arni a exposé les grandes lignes de ce à quoi pourrait ressembler une telle approche. Sur ce plan, la coopération de l’ensemble des acteurs impliqués permettrait aujourd’hui déjà de poser la base des «trois temps de la résilience», à savoir la prévention, la gestion de crise et la réparation des dommages.
Hans-Ulrich Bigler, directeur de l’Union suisse des arts et métiers (USAM), a rappelé que les quelque 600’000 PME – principal pilier de l’économie suisse – étaient au moins aussi concernées par la menace de la cybercriminalité que les grandes entreprises et les exploitants d’infrastructures considérées comme d’importance systémique critique. Il est donc important que les PME se préoccupent des risques et prennent la prévention au sérieux.
Raphael Reischuk, associé et responsable cybersécurité chez Zühlke Engineering, l’a remercié de son intervention avant de prendre la parole à son tour sur le sujet. Il a également insisté sur la nécessité impérieuse de garantir l’assurabilité des cyberrisques au plus vite, dans l’intérêt bien compris de la population dans son ensemble, de l’économie et, en fin de compte, de la structure démocratique de notre société. M. Reischuk a exposé la manière dont il est techniquement possible d’aborder cette thématique en utilisant un système de collecte de données en temps réel des cyberrisques, lequel permet de dégager une meilleure vue globale de la situation, promet des incitations pour la réduction de ces risques et récompense le preneur d’assurance avec des primes adaptatives.
L'administration et la science soutiennent une vaste collaboration
Le besoin d'une solution pour améliorer l'assurabilité des cyber-risques majeurs et la mise en commun des différentes compétences et expériences ont également trouvé une oreille attentive auprès des représentantes et des représentants présents des pouvoirs publics et de l’économie.
Florian Schütz, directeur du Centre national pour la cybersécurité (NCSC) et futur directeur du nouvel office fédéral pour la cybersécurité a souligné dans son intervention l’importance de la contribution des entreprises à une stratégie cyber en conformité avec les principes et les valeurs de notre pays. Mais au final, il est également de l’intérêt de l’économie que la thématique de la cybersécurité en tant que facteur de productivité figure tout en haut de l’agenda. On se réjouit cependant, du côté du NCSC, de constater que l’assurabilité des cyberrisques est de plus en plus au centre de toutes les attentions. Comme le précise encore Florian Schütz: «Dans le cadre du débat national autour du renforcement de la cyberrésilience et des mesures visant à réduire l’impact des cyberincidents sur l’économie nationale, il est désormais temps de mener ce débat.»
Du côté scientifique, l’économie et les pouvoirs publics peuvent compter sur le formidable savoir-faire des start-up spécialisées et des institutions nationales, comme l’École polytechnique fédérale (EPF), par exemple. Le professeur Florian Tramèr, expert en sécurité informatique, protection de la personnalité et Machine Learning au sein du département d’informatique de l'EPFZ a montré à quel point le monde scientifique s’intéresse activement à cette thématique à l’heure actuelle et développe déjà des modèles tournés vers l’avenir en y associant tant l’économie que les pouvoirs publics.
Le secteur de l’assurance a besoin d’une base de données solide et des modèles de risque appropriés
Jean-Philippe Moser, directeur de la division Branches d’assurance de l’Association Suisse d’Assurances ASA et David Ribeaud, CEO Specialty Markets d’Helvetia, ont souligné la volonté de la branche d’y contribuer. Par exemple, en s'efforçant d'obtenir une base de données solide et des modèles de risque appropriés pour améliorer l'assurabilité des cyberattaques. Dans le même temps, les deux intervenants ont insisté sur la nécessité de clarifier, et donc d’améliorer, la réglementation régissant les conditions-cadres pour parvenir à renforcer la cyberrésilience de l’économie et de la société suisses. Les entreprises qui investissent dans la cybersécurité et la prévention auront de meilleures chances de trouver des solutions d’assurance adaptées.
De bonnes chances d’adhésion politique
Qu’en est-il de la capacité de la majorité au niveau politique de trouver de telles solutions? Pour Werner Salzmann (UDC, BE), conseiller aux États et président de la Commission de la politique de sécurité du Conseil des États (CPS-E), il y a de bonnes chances pour cela, la CPS-E considérant par ailleurs depuis longtemps le sujet de la cybercriminalité comme étant l’un des problèmes les plus urgents dans le contexte sécuritaire actuel. Toute initiative s’appuyant sur un large soutien en dehors de l’échiquier politique sera examinée très favorablement, a encore précisé le politicien UDC à Berne, à l’occasion du symposium cyber.
Prenant en compte les positions exposées, l’ASA et les compagnies d’assurance qui lui sont affiliées élaborent les bases requises au sein du groupe de travail «Cyber». Un symposium de suivi permettra de discuter les connaissances acquises avec les divers acteurs et de définir les prochaines étapes.
Il semble donc réaliste, tout bien considéré, d’estimer que la Suisse sera en mesure d’établir dans les délais d’urgence définis une coopération réaliste et soutenue par l’ensemble des parties prenantes entre les principaux représentants de l’économie, des milieux scientifiques et des pouvoirs publics. Ce qui constituerait une mesure pionnière à l’échelle mondiale et une formidable opportunité pour notre place économique. (cp/hzi)