Risque cyber : dépasser les sinistres, intégrer la menace

Pouya Canet

La modélisation du risque cyber reste fragile : données limitées, parfois biaisées. Intégrer la Cyber Threat Intelligence est cruciale pour anticiper menaces, impacts systémiques et souveraineté

Alors que les cyberattaques se multiplient et ciblent des secteurs critiques de l’économie, la capacité à quantifier ce risque devient un enjeu central pour les entreprises, les assureurs et les régulateurs. Pourtant, la modélisation du risque cyber reste encore trop largement fondée sur des bases fragiles. Il est urgent de faire évoluer les approches traditionnelles pour intégrer la complexité propre à ce risque, qui échappe aux logiques assurantielles classiques.

Pourquoi les seules données de sinistralité ne suffisent pas

Les données de sinistralité – c’est-à-dire les sinistres déclarés aux assureurs – ont historiquement été la pierre angulaire de la modélisation des risques. Mais dans le domaine cyber, elles s’avèrent largement insuffisantes, pour plusieurs raisons.

D’abord, le volume de données est extrêmement faible. En France, l’assurance cyber ne représente qu’environ 3% des cotisations en assurance dommage des professionnels (2022)[1], ce qui limite mécaniquement la masse de sinistres disponibles. Ensuite, de nombreux événements ne sont pas déclarés puisque toutes les entreprises ne sont ne sont assurées ou pour certaines afin de ne pas aggraver leur profil de risque si les dommages estimés restent inférieurs aux conditions contractuelles de leur police.

Une limite majeure réside dans l’absence de standardisation des données cyber.

Il n’existe pas de référentiel commun permettant de distinguer clairement vecteurs d’attaque, les moyens utilisés et les finalités poursuivies, ce qui entraîne des confusions, y compris au sein de sources pourtant spécialisées. Par exemple, certaines typologies placent sur un même plan des catégories comme “supply chain attack”, qui désigne un vecteur d’intrusion, et “ransomware”, qui correspond à une charge malveillante. Ce manque de structuration nuit à la lisibilité des menaces et à l’analyse des modes opératoires.

La qualité des données est également très variable : les incidents informatiques, sans origine malveillante, sont parfois assimilés à des attaques, et les typologies manquent souvent de granularité. Le “chiffre noir” reste important : de nombreuses attaques ne sont ni détectées, ni revendiquées, tandis que les groupes cybercriminels exagèrent ou recyclent leurs revendications.

Enfin, les principales bases de données disponibles sont fortement influencées par des sources anglo-saxonnes, tant en ce qui concerne la couverture géographique que les acteurs suivis. Le contexte juridique et réglementaire américain, qui impose notamment l’obligation de notification des incidents via le formulaire 8-K, contraste avec le modèle européen, où les incidents restent souvent confidentiels. Même si de nouveaux fournisseurs émergent (Moyen-Orient, Inde), ils s’appuient sur des sources similaires : dark web, Telegram, sites de revendication.

Résultat : les modèles construits uniquement à partir de sinistres déclarés offrent une vision incomplète et biaisée du risque réel.

L’apport indispensable du renseignement sur la menace

Pour sortir de cette impasse, il est essentiel d’enrichir les modèles avec une approche orientée en analyse de la menace cyber. La Cyber Threat Intelligence (CTI) est orientée vers la connaissance et l’anticipation des menaces. Elle fournit une vision prospective du risque cyber, afin d’éclairer la prise de décision stratégique, opérationnelle ou technique. C’est passer d’une logique purement réactive à une approche préventive et contextualisée.

En analysant qui attaque, comment, et dans quelles conditions, il devient possible d’estimer la fréquence des attaques sur des secteurs ou des périmètres donnés. Couplée à une évaluation des défenses techniques et organisationnelles des entreprises, cette donnée permet de produire une estimation probabiliste du risque.

Fréquence, sévérité : modéliser l’incertain avec rigueur

La modélisation du risque cyber repose sur deux axes fondamentaux : la fréquence (combien de fois un événement pourrait se produire) et la sévérité (quel serait l’impact si cela arrivait).

Pour la fréquence, les données issues du renseignement cyber permettent d’identifier les campagnes d’attaque connues, leurs récurrences, et les cibles privilégiées. Pour la sévérité, l’évaluation passe par une compréhension fine de l’impact économique, juridique et opérationnel d’une attaque : interruption d’activité, investigation de l’incident, actions correctives, atteinte à la réputation, sanctions réglementaires, etc.

Certaines approches intègrent aussi un concept de "capacité d’attaque" vs "capacité de défense", en modélisant par exemple des pen tests théoriques à partir de référentiels de sécurité (ISO 27001, NIST…). L’objectif est de produire une distribution de probabilité du risque, qui dépasse les simples moyennes statistiques et reflète les incertitudes réelles.

De l’événement isolé au risque systémique

Le cyber-risque n’est pas qu’un enjeu individuel. Il a désormais un potentiel systémique comme cela a pu être le cas pour NotPeya ou Wannacry  Trois grandes familles de scénarios doivent être intégrées dans les modèles :

  • Les attaques coordonnées, où plusieurs acteurs ciblent simultanément une même filière, un pays ou plusieurs.
  • Les incidents IT globaux, d’origines accidentelles ou malveillantes mais à large impact (comme le cas CDK Global).
  • Les contagions numériques, où une attaque se propage de proche en proche, à la manière d’un ver informatique “Covid-like”.

Ce type de modélisation devient indispensable pour anticiper des chocs collectifs et concevoir des mécanismes de mutualisation à l’échelle du marché. Mais aussi de résilience pour les entreprises d’assurances et les assurés eux-même.

Un enjeu de souveraineté pour l’Europe

La dépendance à des modèles anglo-saxons, calibrés sur des réalités juridiques et économiques étrangères, constitue un frein à l’autonomie stratégique du continent. L’Europe doit développer ses propres référentiels de risque, ancrés dans ses normes, ses structures d’entreprise, son droit et sa culture de la cybersécurité.

Cela suppose un investissement dans la donnée, dans la recherche, et dans la montée en compétence de toute la chaîne de valeur : assureurs, régulateurs, courtiers, mais aussi directions financières, des risques, sécurité SI, et conseils d’administration.

En conclusion

Le risque cyber n’est pas un artefact technologique. C’est un risque économique, humain et stratégique. Le modéliser avec rigueur est un impératif non seulement pour protéger les entreprises, mais aussi pour préserver la stabilité de l’économie européenne dans son ensemble.

[1] https://presse.economie.gouv.fr/07-09-2022-assurance-du-risque-cyber-publication-du-rapport-de-la-direction-generale-du-tresor/