Si certains assureurs proposent aujourd'hui des contrats aux entreprises pour les garantir contre les dégâts informatiques ayant une cause matérielle (une fuite inondant une salle blanche par exemple), aucun en revanche n'offre de couvrir les risques informatiques résultant d'un déni de service ou d'une indisponibilité prolongée de réseau. Et pour cause : comment mesurer le risque et à qui imputer la faute dans ce cas ? C'est pour répondre pour partie à ces questions que Marsh Consulting, branche conseil de Marsh MMC, a mis au point un outil de modélisation des risques informatiques "immatériels" baptisé Net-Scoring, qui pourrait bien constituer un pas décisif dans la couverture prochaine de ce type de risques par les grands assureurs.

Un terrain encore en friche
"Nous sommes presque aujourd'hui en terra incognitae", résume Jean-Laurent Santoni, responsable de la division Risques et Assurances des Systèmes d'Information de Marsh Consulting, créée en juillet 2000. "Dans le meilleur des cas, si vous subissez des pertes dues à une dégradation matérielle, un assureur vous indemnisera pour l'opération de backup de vos données", ajoute le responsable de la division, qui ne voit dans cet état de fait que le symptôme de la jeunesse des technologies Internet. Aussi l'ambition de Net-Scoring est-elle de remédier à cette absence, en fournissant aux entreprises un instrument d'analyse et de mesure des présomptions de vulnérabilités de leurs SI, instrument qui pourra être ultérieurement utilisé par les assureurs et les réassureurs pour établir des polices d'assurance pour leurs clients. Pour ce faire, le logiciel de Marsh Consulting repose sur une analyse selon trois axes.

L'analyse de l'infrastructure du réseau IP
Premier axe, l'audit d'infrastructure, qui consiste en une analyse des vulnérabilités du système d'information. Celle-ci est établie en examinant cinq catégories logiques de sécurité : le contexte général, la continuité, la sécurité télécom, celle d'Internet, et celle des applications. Ces catégories se subdivisent elles-mêmes en solutions auditables qui correspondent à des points précis du réseau Internet de l'entreprise auditée. Pour prendre un exemple, on trouvera dans le groupe "Continuité" cinq sous-parties, dont l'une nommée "Redondances" qui passera en revue l'ensemble des systèmes à tolérance de panne, des éléments redondants ou des dispositifs de mirroring mis - ou non - en place. Cette première analyse sous forme binaire (présence/absence d'un élément) sera pondérée en fonction de certains paramètres que Marsh garde secrets. En fonction de ces résultats, une cotation est ensuite établie sur une échelle allant de 0 à 5 pour évaluer le risque encouru par le système.

La définition des responsabilités juridiques
Second point, un audit "d'infostructure" est mené en parallèle. Il s'agit de reconstruire la chaîne des processus et des engagements contractuels qui sont en jeu dans le site Web de l'entreprise (entre le fournisseur d'accès, l'hébergeur, le concepteur du site, etc.). L'objectif ici est de déterminer à qui est imputable la responsabilité de la faute en cas de perte des données ou de perte de confidentialité notamment, au regard de l'évolution de la jurisprudence. Ce point représente avec l'audit d'infrastructure la base du référentiel de Net-Scoring, par définition statique (on ne change pas son infrastructure tous les quinze jours). Ce socle est complété par un versant qu'on dira a contrario "dynamique", qui constitue le troisième et dernier axe de l'analyse de Net-Scoring.

L'analyse dynamique du réseau
Pour ce faire, Net-Scoring réalise une analyse régulière des vulnérabilités recensées (alertes du CERT, patchs des éditeurs, etc.), via Intranode, qui agit en qualité de partenaire. Intranode utilise son logiciel de surveillance ActiveSentry pour se connecter aux URL des sociétés auditées et fournit un rapport circonstancié à Marsh, dont les résultats sont intégrés dans le référentiel de Net-Scoring. Enfin, ces derniers sont complétés par une analyse de performance du site (temps de connexion TCP, temps de chargement des pages, temps de latence, etc.) mesurée à l'aune des temps moyens observés chez les fournisseurs d'accès. Cette étude est prise en charge par IP-Label, via son système de surveillance Datametrie qui repose sur un panel de plus de 500 sites.

Evaluer c'est bien, chiffrer c'est mieux !
A l'heure actuelle, les résultats issus de ces trois axes d'analyse sont moulinés par la matrice Net-Scoring et donnent lieu à des rapports de synthèse qui sont vendus aux sociétés auditées (15 000 euros). Mais l'objectif final va un cran plus loin : à terme, ce sont les companies d'assurance qui sont visées. Et là, les choses se compliquent. Une fois le risque théorique évalué, il faut en effet le chiffrer au regard des préjudices et pertes financières dues à l'interruption ou la dégradation de l'activité de l'entreprise. "C'est le travail des BSC - Business Continuity Planning - qui constitue le pôle complémentaire du risk management et qui reste à faire", explique Jean-Laurent Santoni. "Mais certains assureurs comme Axa ou Ace Europe ont déjà agréé Net-Scoring comme outil d'évaluation depuis un an environ", précise le responsable Risk Consulting de Marsh France.

Une question importante demeure pourtant en suspens : les entreprises qui souhaiteraient être assurées pour leurs risques accepteront-elles d'être auditées par les partenaires d'un courtier en assurance dont les clients sont, dans une large mesure, les assureurs eux-mêmes qui fixeront le montant des primes d'assurance ? Jean-Laurent Santoni se veut optimiste : "Nous n'aurions rien à gagner en trichant : il en va de notre crédibilité comme de celles de nos partenaires de rester objectifs". Ne reste donc plus qu'à convaincre les assureurs.