Close
  • Français
  • English

Economie de la Cybersécurité : s’inspirer des assurances pour lutter contre les biais de marché [par Maxime ALAY-EDDINE, Cyberwatch SAS]

« Les employés de Sony sont réduits au stylo et au papier après le piratage de leur réseau par la Corée du Nord ». C’est par ce titre terrible de l’International Business Times du 4 décembre 2014[1] que l’on réalise l’importance du numérique dans notre vie professionnelle. Le système d’information est devenu un patrimoine essentiel de toute organisation, et doit donc être protégé. Cette nécessité a donné lieu à un domaine à part entière, celui de la sécurité informatique ou cybersécurité. Il s’agit de garantir que les ressources matérielles ou logicielles d’une organisation sont uniquement utilisées dans le cadre prévu[2].
Si 2014 est marquée par la médiatisation des attaques informatiques majeures, force est de constater que la plupart des entreprises ne sont toujours pas protégées : selon Symantec, près de 76% des sites internet présentent au moins une vulnérabilité informatique, qui permet alors à un pirate de réaliser une attaque[3]. Alors que les systèmes d’information tiennent une part importante de nos vies, ils sont encore extrêmement peu protégés.

Dès lors, nous pouvons nous demander quels sont les biais économiques de ce secteur, qui font que trop peu d’agents sont protégés malgré les nombreuses offres du marché.
Cette fiche technique propose une réponse à cette question, et montre les possibilités des acteurs économiques pour favoriser l’adoption de leurs offres aux acheteurs et ainsi rééquilibrer le marché.
Nous étudierons dans un premier temps les similitudes entre la sécurité informatique et le milieu de l’assurance, et en déduirons un ensemble d’actions concrètes inspirées par ce secteur.

I. Le marché de la sécurité informatique est soumis à une asymétrie de l’information qui pousse les agents à rester sans protection, et résulte en un problème principal-agent semblable à celui des compagnies d’assurance

A. L’immatérialité de la sécurité informatique et le niveau de compétences techniques requis créent une asymétrie de marché qui pousse les agents à la prise de risque

Toute décision économique liée à la sécurité est évaluée par les agents à la fois sur des aspects concrets où l’on calcule par exemple la probabilité qu’un aléa survienne, mais aussi sur des bases psychologiques beaucoup moins rationnelles. En effet, un agent peut se sentir protégé sans l’être en réalité, et vice-versa. Ce biais est étudié en économie comportementale où l’on modélise l’impact des émotions, des relations sociales et du fonctionnement cérébral sur une décision économique. En sécurité, ces études prennent aussi en compte les problématiques psychologiques du cerveau face à une prise de décision ou à la perception du risque, et révèlent un comportement irrationnel des humains[4].

Ainsi, lorsqu’un agent a le choix entre perdre à coup sûr 500€ en investissant dans une solution de sécurité, ou voir 1 chance sur 2 de perdre 1000€ au cours d’une attaque informatique, l’agent aura tendance à prendre le risque maximal. Ce phénomène « d’aversion à la perte » est expliqué en théorie des perspectives[5], qui montre que face à un choix risqué conduisant à des pertes, les agents recherchent davantage la prise de risque. Le deuxième biais est celui de l’estimation de la disponibilité d’un événement, qui veut qu’un phénomène facile à représenter et à mémoriser pour le cerveau humain (donc plus disponible mentalement) soit favorisé face à des événements plus durs à conceptualiser[6]. Dans un domaine totalement immatériel comme celui de la cybersécurité, le vocabulaire extrêmement technique et conceptuel conduit à une prise de risque supplémentaire des agents économiques, qui vont préférer conserver leur budget (très concret) au lieu de protéger leur système d’information (très abstrait).

Nous pouvons alors en déduire que les agents les plus enclins à se protéger sont les experts en sécurité informatique, mais aussi ceux qui ont déjà subi une attaque et qui sont donc capables de mieux se représenter les conséquences d’un tel événement.

B. L’asymétrie de marché de la sécurité informatique crée une situation de principal-agent identique au milieu de l’assurance

La modélisation du marché de la cybersécurité fait apparaître les mêmes biais que le marché de l’assurance. En effet, si l’on s’intéresse aux solutions de prévention de sécurité informatique, leur prix est fixé en fonction de la somme maximale qu’un client est prêt à payer pour bénéficier d’une protection avant même d’être attaqué. Pourtant, s’il est nécessaire de s’être déjà fait attaquer pour mesurer l’importance d’être protégé, cela crée un phénomène dit de « sélection adverse », où les agents les plus enclins à acheter ce type de solution sont ceux qui disposent des systèmes d’information en moins bon état. Dans ce cadre, la solution de protection préventive sera certainement moins efficace, et risque également de ne couvrir qu’une partie des menaces pesant sur le système. Le client sera alors certainement victime d’une nouvelle attaque, et entretiendra une relation conflictuelle coûteuse avec son prestataire. A prix constant, ce dernier verra en conséquence son bénéfice diminuer proportionnellement au nombre de « mauvais » clients.

A l’inverse, il existe également un problème de signal concernant les prestataires de sécurité informatique, en particulier dans le conseil et l’audit : le niveau de compétence technique requis pour exercer comme expert en cybersécurité est suffisamment élevé pour en rendre impossible la vérification par le client moyen. Pire encore, le marché est pris d’assaut par des experts d’un faible niveau technique, qui proposent des prestations à prix cassé particulièrement recherchées par les clients[7]: un mauvais consultant est un prestataire qui n’identifiera pas de failles de sécurité. L’audité peut ainsi annoncer que les missions d’audit qu’il délègue ne révèlent aucun problème sur son système d’information, et ainsi obtenir plus facilement des certifications telles que l’ISO 27001. Ce mécanisme est donc entièrement accepté par le marché, et même encouragé par les clients les moins scrupuleux.

Nous constatons ainsi que les principaux clients de la sécurité informatique sont aussi ceux qui rencontrent le plus de problèmes, et qu’il est particulièrement intéressant pour eux de maintenir une asymétrie de l’information afin d’obtenir malgré tout les accréditations et certifications nécessaires à leur activité. Ce phénomène est très proche de celui de l’assurance automobile où un mauvais conducteur cherchera à cacher ses accidents pour conserver son bonus.

II. De par leur proximité, la sécurité informatique doit travailler en synergie avec le secteur assurantiel et s’inspirer des approches commerciales de celui-ci pour atteindre la saturation de marché

A. La sécurité informatique s’intègre facilement dans les offres d’assurance en tant qu’instrument économique de réduction de risque technique

Le métier de l’assurance consiste à fournir en échange d’une prime, une prestation prédéfinie et généralement de nature financière, à un individu ou une organisation, lorsque survient un risque[8]. On parle alors d’aléa concernant l’occurrence de ce risque, et de sinistre lorsque celui cause des dégâts. Les produits d’assurance sont étudiés pour mutualiser le risque sur l’ensemble des assurés, et faire en sorte que la somme des primes perçues par la compagnie d’assurance soit supérieure à la somme des indemnités versées en dédommagement des assurés suite à un sinistre. Cette approche permet par un facteur d’échelle de proposer des primes d’un montant suffisamment peu élevé pour que les assurés consentent à la verser et augmentent leur bien-être collectif. Or, le montant des primes d’assurance est directement lié au coût financier du risque des assurés : si trop de sinistres surviennent à un moment donné, l’assureur augmentera l’ensemble des primes pour couvrir ses coûts et les répartir sur ses clients.

S’il existe des assurances Cyber-risque permettant aux clients de mieux maîtriser ce risque d’un point de vue financier, les offres de sécurité informatique se concentrent sur une meilleure maîtrise de ce risque sur le plan technique. Par conséquent, un client ayant investi dans des solutions de cybersécurité bénéficiera d’un meilleur niveau de protection, et réduira d’autant le risque de sinistre suite à une cyber-attaque sur son système d’information. Les agents économiques ont bien compris ces enjeux et nous assistons progressivement à des alliances entre compagnies d’assurance et entreprises de sécurité informatique[9]. Cette approche permet alors de contrecarrer les biais économiques précédemment étudiés, dans la mesure où les produits d’assurance sont déjà très répandus auprès du grand public. Il est donc bien plus facile de vendre des offres de cybersécurité en les insérant dans un package « Assurance + Solution de sécurité informatique ». A terme, cela devrait entraîner un cercle vertueux où le marché sera mieux équipé en solution de sécurité, réduisant le niveau de risque global et baissant progressivement le coût des primes d’assurance et des solutions techniques.

B. En parallèle, les prestataires de sécurité informatique doivent prendre leur autonomie et s’inspirer des stratégies utilisées par les assurances pour saturer le marché

Malgré la ressemblance des solutions de cybersécurité avec les produits d’assurance, nous ne devons pas mettre de côté des différences non négligeables d’un point de vue économique. En effet, l’ultra-connexion des différents agents économiques numériques crée un risque technique important à chaque apparition d’une nouvelle menace sur le réseau Internet. Pour illustrer ce propos, considérons un ensemble de 100 conducteurs d’automobiles ayant souscrit une assurance. En cas d’aléa de type accident de la route entre 2 usagers, nous aurons une portion infime des assurés qui sera victime d’un sinistre : 2 conducteurs seront à dédommager. Dans le milieu numérique, l’apparition d’une menace peut être considérée comme un aléa, en ce qu’il s’agit d’un événement extérieur, indépendant de notre volonté et se produisant à un moment inattendu. Mais lorsque cette menace atteint le réseau, il est probable qu’une large portion de celui-ci se trouve infecté. Sur 100 entreprises assurées, le sinistre pourra facilement en affecter plus de 50%, voire la totalité ! Le modèle assurantiel ne saurait donc s’y appliquer, sous peine de faire faillite à chaque nouvelle menace. Il faut donc aussi bien les considérer comme deux produits différents.

Cette interconnexion fait néanmoins émerger l’idée que la sécurité informatique est un bien commun : il est de l’intérêt général que chacun prenne part à l’effort de protection de son patrimoine numérique. Si l’ensemble du réseau Internet était protégé, il serait plus difficile pour les pirates d’atteindre un niveau de rentabilité économique par les attaques, et le nombre de machines compromises diminuant, il serait également plus compliqué pour les pirates de réaliser des opérations à effet exponentiel type Déni de service distribué (DDOS)[10]. Dans ce cadre, la cybersécurité peut atteindre la même importance au niveau politique que la sécurité routière. Nous pouvons alors imaginer une généralisation progressive de mesures législatives visant à obliger l’ensemble des agents économiques à s’équiper en solutions de protection. Cette approche est déjà déployée auprès des Organismes d’Importance Vitale (OIV) avec la Loi de Programmation Militaire du 18 décembre 2013. Celle-ci prévoit, en son article 22, que les OIV adoptent des mesures concrètes de renforcement de la sécurité de leurs systèmes d’information. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) fournit de plus en plus de guides à destination des usagers du numérique, et a émis un appel à projets pour réaliser un dispositif clé en main de protection du système des Petites et Moyennes Entreprises[11]. Il y a donc fort à parier que les mesures actuellement obligatoires pour les OIV soient généralisées à l’ensemble des entreprises françaises, et pourquoi pas au grand public. Ce sera alors une transcription directe de l’approche de la sécurité routière dans le cyberespace.

En conclusion, cybersécurité et assurances sont deux secteurs voisins qu’il convient de lier, sans pour autant les confondre. Si les offres de sécurité informatique peinent à s’insérer sur le marché, n’oublions pas qu’il était tout aussi difficile de lancer les premières offres d’assurance, et que celles-ci n’ont réellement atteint leur niveau de rentabilité stable que lors des premières mesures législatives visant à les rendre obligatoires[12]. Il semble donc nécessaire d’aborder la même stratégie économique pour le marché de la sécurité informatique, et d’en faire un bien commun fortement réglementé.

 

BIBLIOGRAPHIE

[1] Sony employees reduced to pen and paper after network hack linked to North Korea, Article du 04 Décembre 2014, http://www.ibtimes.com/sony-employees-reduced-pen-paper-after-network-hack-linked-north-korea-1734746
[2] JF Pillou, Tout sur les systèmes d’information, Dunod 2006
[3] Symantec, Website Security Threat Report 2015, https://www.symantec-wss.com/uk/WSTR-2015-1/social/thanks#.VUaomK3tlHx
[4] Bruce Schneier, Schneier on Security, The Psychology of Security https://www.schneier.com/essays/archives/2008/01/the_psychology_of_se.html
[5] Daniel Kahneman, Amos Tversky, 1979, « Prospect Theory : An analysis of Decision under Risk »
[6] Barry Glassner, The Culture of Fear : Why Americans are Afraid of the Wrong Things, Basic Books, 1999
[7] Testsdintrusion.com, site très connu dans le marché, qui propose des audits forfaitaires à 150€ là où le marché demande habituellement 850€ par jour d’intervention, avec des durées moyennes de 5 à 10 jours.
[8] Assurland https://www.assurland.com/assurance-blog/glossaire-de-l-assurance/definitions-lettre-a.html
[9] Bulletin d’information sur l’alliance de CGI avec le courtier Verspieren http://www.argusdelassurance.com/produits-services/verspieren-renforce-son-offre-cyber-avec-le-specialiste-informatique-cgi.89755
[10] Protection contre les attaques par déni de service distribué DDoS http://www.verisigninc.com/fr_FR/network-availability-security/ddos-protection/what-is-a-ddos-attack/index.xhtml
[11] Investissements d’avenir, Cœur de Filière numérique, Sécurité numérique n°2
[12] Avec notamment la loi du 13 juillet 1930 sur les assurances des véhicules terrestres, qui créera progressivement le Code des assurances