Cyber et supply chain, le défi de ces risques les plus redoutés

«Le dénominateur commun entre les grands risques cyber et supply chain, c’est qu’ils caractérisent les effets de la globa­lisation, poussée par la technologie », explique Brigitte Bouquot, présidente de l’Association pour le management des risques et des assu­rances de l’entreprise (Amrae). Impossible, pour les entrepreneurs, de se soustraire aux impératifs de compétitivité qui dictent la loi économique, « mais ils doivent avoir conscience des risques associés », insis­te-t-elle. Il y a, en effet, urgence à agir tant ces deux risques les plus redoutés (1) – éminemment comple­xes à cartographier, variables selon les secteurs d’activité, et techniques à tarifer – augmentent, en fréquence comme en intensité. Selon la Fédération française de l’assurance (FFA), le nombre de sinistres supérieurs à 2 M€ liés à la supply chain a progressé de 25 % entre 2012 et 2015. Quant aux risques cyber, 2017 a marqué les esprits avec l’attaque du « rançon­giciel » Wannacry et la contamination, en 24 heures, de plus de 300 000 entreprises dans 150 pays. Sa répli­que, Notpetya, a causé au seul groupe Saint Gobain 220 M€ de pertes, soit 1,1 % de son CA ! En France, deux tiers des entreprises seraient, chaque année, victimes d’un hacker.

Double peine

De surcroît, ces deux menaces mondiales, imparfaitement appréhendées par l’ensemble des acteurs de la chaîne du risque, ont un double effet : aux pertes d’exploitation impor­tantes se greffent des dégâts immatériels vertigineux s’agissant, par exemple, de l’atteinte à la réputation d’une marque ou la perte de pans entiers de clients. Une nouvelle donne sur le marché de l’assurance des entreprises qui nécessite de mettre en place ce que l’Amrae appel­le une « cyber gouvernance », voire une « supply chain gouvernance », intégrant donc le comité de direction, le risk management, mais aussi la conformité, la DSI, l’audit interne, les achats… bref, l’ensemble des compétences professionnelles, éparses, d’une entreprise.

« La communauté des achats surveille nos fournisseurs sous l’angle de leur robustesse financière et de leur performance, mais pas du risque incen­die ou climatique de leurs usines. Dans les grades – orange, vert… – que nous leur accordons, ces paramètres doivent désormais faire partie du calcul. Depuis l’épisode Recticel (lire encadré), nous menons un chantier visant à renforcer la colla­boration entre les acheteurs et les risk managers du groupe », témoigne Michel Josset, directeur assurances, prévention et immobilier de l’équipementier automobile Faurecia. « C’est un tamis que nous voulons utiliser pour chercher les nœuds de cette supply chain », ajoute ce spécialiste qui partage ce nouveau procédé de gestion des fournisseurs avec son assureur. Et les faits lui donnent raison. Le moindre problème survenant dans une usine de rang 3 en Thaïlande peut, aujourd’hui, perturber l’ensemble de la chaîne de sous-traitance européenne des constructeurs automobiles, jusqu’à l’arrêt de la production d’un modèle. Le cumul des expositions pour le constructeur PSA Peugeot-Citroën serait ainsi démesuré. Jugez plutôt : ses 1 600 fournisseurs sur le seul vieux continent s’approvisionnent auprès de 2 000 usines qui travaillent elles-mêmes avec des centaines de sous-traitants, souvent hyperspécialisés… « Des zones du monde deviennent des usines de production !, note ainsi Corinne Cipière, directri­ce générale d’Allianz Global Corporate & Specialty (AGCS), deuxième assureur grands risques en France. La situation est analogue dans le cyber, si une entreprise comme OVH qui fournit des solutions d’infrastructures aux sociétés françaises était attaquée, nous nous retrouverions avec un impact sur quasiment tous nos clients en portefeuille. D’où la complexité pour les assureurs liée à l’accumulation des risques. Nos clients doivent les maîtriser et nous devons être en mesure de déterminer ce qu’une catas­trophe provoquerait. »

Enclencher le cercle vertueux

La donne assurantielle est telle qu’il est inutile d’espérer, pour les entrepri­ses, se protéger en achetant un produit supply chain ou cyber standardisé, « sur étagère ». Ces cou­vertu­res, forcément sur mesure, s’élabo­rent après un long travail d’iden­tification, de quantification, de cartographie des risques via des scénarios. Il faut, en effet, circonscrire le périmètre assurable et revisiter, sans cesse, la police cyber ou l’extension des garanties dommages pour coller à leur évolu­tion. D’autant que, comme l’exprime Corinne Cipiè­re, le cyber et la supply chain s’interconnectent à mesure que les usines dites 3.0. voient le jour. Rien de fictif à ce qu’une attaque informatique déclenche un incendie dans une chaîne de fabrication. « Il est indispensable de faire cette approche analytique qui prend du temps », reconnaît Léopold Larios, directeur des risques du groupe Mazars. Et d’ajouter : « Or, beaucoup d’entreprises sont encore dans le déni par rapport au cyber. Et si les assurés ne se couvrent pas, l’effet de mutualisation associée à la vente en masse de polices ne fonctionne pas. »

Mais cela s’agite ! AGCS qui totalisait, fin 2017, une vingtaine de clients en cyber a reçu, l’an dernier, deux fois plus de saisines qu’en 2016 et les demandes grimpent en flèche. « Les clients déjà équipés nous demandent également d’augmenter les capacités. En garantie pertes d’exploitation sans dommage, nous couvrons une dizai­ne de clients, mais l’intérêt est croissant », affirme Corinne Cipière. Pour enclen­cher le cercle vertueux de l’offre et de la demande, les entreprises et les assureurs travaillent donc main dans la main. AGCS dénom­me clairement les périls associés à la PE sans dommage dans ses contrats : grève, confiscation, insolva­bilité d’un fournisseur, retrait d’agrément… suite à de vrais sinis­tres de ses clients. « Nous offrons jusque 100 M€ de garantie en supply chain et 25 M€ par ligne, en cyber, pour mutualiser notre exposition », précise Corinne Cipière qui entend, au préala­ble, comprendre l’organisation de ses assurés, tant logistique qu’infor­matique. AGCS met aussi la main à la pâte pour aider à l’appréhension de ces risques. Outre un accord, en cyber, avec une start-up de la Silicon Valley, Cyence – une plate­forme de modélisation des vulné­rabilités de l’entreprise – l’assureur a contracté un partenariat, fin 2016, avec le cabinet Deloitte et le courtier Siaci St Honoré pour modéliser les risques en supply chain. « Nous avons bâti une collaboration étroite sur un process avec plusieurs études en cours, qui demandent du temps et des investissements aux entre­prises. Par rapport aux États-Unis, le sujet n’est pas encore mature. Outre-Atlantique, le marché de la sup­ply chain représente, en effet, 2,5 Md€ de primes. En Europe, c’est moins de 500 M€ et les couvertures et les exposi­tions sont totalement différentes selon les métiers. Notre rôle est de décliner les scénarios, mesurer, valoriser les impacts pour déterminer à quel niveau notre client doit s’assurer », inter­vient Stanis­las Chapron, directeur général IARDT de Siaci St Honoré.

Investir en cas de sinistre

En cas de sinistre, ce sont les cabinets d’exper­tise grands risques qui sont aux premières loges. « Les premiers touchés par les attaques cyber sont les industriels qui ont des systè­mes vieillissants, remarque Dominique Brossais, dirigeant du cabinet Naudet qui intervient auprès de 50 % des entreprises du CAC 40 et dont le flux d’indemnisation frôle les 4 Md€ par an. Nous travaillons avec deux sociétés partenaires certifiées par l’Ansi (Agence nationale de la sécurité informatique) pour déterminer les causes, et des ingénieurs chevron­nés. Notre rôle se focalise sur la relation avec les assureurs, la compré­hension de la police, de ses contours, des exclusions. Souvent, post-crise, ce sont les XP qu’il faut mettre à la poubelle, racheter des ordinateurs et implanter du Windows 10. » Or, à ce jour, les traités d’assurance ne garantissent pas l’amélioration. Ces frais, colossaux, sont à la charge du sinistré. « Mais remonter le même système revient à rester aussi vulnérable qu’avant… », avertit-il. La gestion des data centers constitue un autre sujet clé. D’où une feuille de route collective que propose Brigitte Bouquot : « définir des standards de sécurité, une donne contractuelle entre les acteurs de la chaîne de valeur de ces risques, avec le support des réglementations, pour obtenir des solutions d’assurance satisfaisantes ».