La société de services professionnels, Aon et le fournisseur de la plateforme sectorielle, Guidewire Software viennent de lancer un scénario d’attaque hypothétique d’un barrage hydroélectrique américain par des pirates informatiques, qui pourrait avoir un impact à la fois sur les entreprises et sur les propriétaires privés.
Il existe plus de 90 000 barrages aux États-Unis, qui assurent l’irrigation, l’énergie hydroélectrique, le contrôle des inondations et les loisirs. Si la technologie et l’automatisation améliorent la sécurité et l’exploitation des barrages, elles créent également de nouveaux risques.
Dans ce scénario développé par Aon et par l’équipe d’analyse des risques Cyence de Guidewire, qui fait partie de l’unité Analyse et Services de données de Guidewire, un pirate informatique cherche à créer une perturbation importante aux États-Unis en ouvrant les vannes d’un barrage hydroélectrique. Si un tel scénario se produisait, cela causerait probablement des dégâts importants en aval des inondations, et entraînerait des « pertes cybernétiques silencieuses » pour les assureurs. Les cyber-risques silencieux peuvent être définis comme le potentiel qu’ont les périls cybernétiques d’entraîner des pertes sur les polices d’assurance traditionnelles – de type assurance multirisques – lorsque la couverture est non intentionnelle ou non tarifée.
Aon et Guidewire ont analysé les impacts potentiels du scénario sur trois barrages, sélectionnés pour refléter respectivement une petite, une moyenne et une grande exposition au risque. Les principales conclusions ont été qu’une cyberattaque pourrait causer :
- Des répercussions majeures non seulement sur l’exploitation des barrages, mais également sur la résilience des entreprises et des communautés locales, la perte économique pouvant atteindre jusqu’à 56 milliards USD.
- Une exposition au risque cybernétique silencieux pour les assureurs, avec des dommages assurés pouvant atteindre 10 milliards USD. À titre de comparaison, les estimations initiales des pertes assurées résultant des dommages causés par le vent et les orages de la tempête tropicale Michael s’élevaient à 10 milliards USD.
- Ceci représente une lacune importante en matière de protection et si un tel événement se produisait, il aurait des conséquences pour les propriétaires privés comme pour les entreprises, avec seulement 12 % d’assurés dans un scénario.
Jonathan Laux, responsable Analyse cybernétique pour l’activité Solutions de réassurance d’Aon, a déclaré : « Les assureurs doivent examiner comment l’évolution des technologies pourrait transformer les périls ‘établis’, tels que les inondations, en de nouveaux risques, entraînant des changements en termes de fréquence et de gravité. En s’appuyant sur des scénarios tels que celui-ci, les assureurs ont la possibilité de soumettre leurs portefeuilles à des tests de résistance par rapport aux dangers nouveaux et émergents créés par le cyber-risque. Forts de ces connaissances, les assureurs peuvent prendre des mesures pour réduire les risques, par le biais de la réassurance, et collaborer avec des entreprises pour renforcer leur résilience. »
Matt Honea, directeur du département Cybernétique de Guidewire, a ajouté : « Nous sommes aujourd’hui confrontés à des défis de taille : sécuriser non seulement tous nos ordinateurs portables et nos téléphones, mais aussi tous les périphériques connectés aux réseaux. Ces appareils connectés automatisent les tâches humaines en alimentant davantage d’équipements et de systèmes de traitement. Nous avons voulu mettre l’accent sur ces scénarios d’attaques de barrages afin de présenter un exemple concret de ce que serait un événement cybernétique extrême. »
Le scénario est décrit plus en détail dans le rapport « Silent Cyber Scenario : Opening the Flood Gates » qui est le tout dernier de la série GIMO (Global Insurance Market Opportunities) d’Aon.