L’assureur allemand occuperait donc la première place mondiale en matière de cyber assurance. En matière maritime, tout est plus compliqué: il faut distinguer les fonctions terrestres d’une compagnie maritime (finance, commercial, DRH, etc.) de celles qui lui sont spécifiques comme l’exploitation de navires. Les premières ne posent pas plus de difficultés en matière de cyberassurance que leurs homologues d’autres secteurs d’activité. Les secondes sont plus complexes à comprendre et à modéliser, d’autant qu’il a fallu éveiller les consciences, explique Iouri Goloubtzoff. Trois facteurs sont favorables à cet éveil: la faisabilité technique d’une attaque a dû être prouvée. Cela est fait avec l’expérience menée par l’université de Texas de fausser les données GPS d’un yacht (voir p. 22) et les capacités de leurrage développées par la Marine nationale (voir JMM du 27/2, p. 23).
Tout devient vraisemblable
La motivation à agir illégalement a également été établie avec la découverte de la prise de contrôle du système informatique de la place portuaire d’Anvers afin de faire « disparaître » du circuit les conteneurs qui contenaient de la drogue. Dès lors, tout devient vraisemblable: l’action pour le « fun » consistant à arrêter à distance un navire en plein transit du détroit du Pas de Calais, le siphonnage des données des cartes de paiement des passagers d’un paquebot, l’espionnage des manifestes marchandises, la demande de rançon formulée à un armateur pour « libérer » un ou plusieurs navires, l’acte terroriste visant à prendre le contrôle d’un paquebot dans le golfe du Mexique ou à tenter d’échouer un méthanier sur une plage du Yémen.
Autre facteur: depuis le 1er janvier 2012, tous les risques « cybernétiques » sont explicitement exclus dans la police française corps, rappelle Iouri Goloubtzoff. Cette exclusion est générale dans le monde entier.
Actuellement, AGCS en est au stade de la réflexion technico-commerciale: quels sont les risques vraisemblables de cyberattaque contre le navire, selon son type (méthanier, porte-conteneurs, etc.) sa ou ses zones de navigation, le niveau de maîtrise des systèmes d’information de son exploitant? Cette cartographie des risques faite, il faudra évaluer les montants probables de dédommagements puis réfléchir à la façon de mutualiser le risque sur une masse suffisante de clients afin de disposer des ressources suffisantes pour financer les futurs dédommagements. Ce futur gisement de chiffres d’affaires reste encore potentiel mais semble très prometteur. À ce stade, il faut entre 15 et 18 mois pour établir une cartographie des risques et la couverture assurantielle pour une flotte, estime Iouri Goloubtzoff.
Grâce aux projets de Rolls-Royce ou du DNV GL de drones maritimes de transport, l’avenir semble radieux pour la cyberassurance. Mais celle-ci doit rester « humble », espère Iouri Goloubtzoff, car elle n’est pas à l’abri de cyberattaques…