Après avoir dirigé l’équipe en charge de la Prospective pendant plus de 5 ans, Cécile Wendling est aujourd’hui Directrice de la stratégie de Sécurité, de l’Anticipation des menaces et de la Recherche pour le groupe AXA. Venue de l’horizon des Sciences Humaines et Sociales (SHS), elle participe à de nombreuses instances de conseil et de réflexion dans des domaines aussi variés que la protection des données personnelles, l’intelligence artificielle ou la cybersécurité.
Pensez-vous qu’une cyber-pandémie soit de l’ordre du possible ?
Cécile Wendling. Oui, c’est tout à fait crédible. Un cyber-évènement majeur pourrait avoir un impact mondial, économique et physique dans le monde réel tout comme la pandémie de Covid-19. Cela dit, il faudrait trouver un vocabulaire commun, car pour l’instant, lorsqu’on parle de cyber-évènement, on mélange différents types d’événements et d’attaquants. Il convient de distinguer les attaques ciblées, intentionnelles, et les événements non intentionnels, comme un serveur qui plante ou une tempête ! De même, les attaques peuvent être le fait d’individus isolés, du crime organisé, de groupes idéologiques ou d’États.
Un assureur doit comprendre le risque réel pour pouvoir proposer la couverture adéquate. D’où l’importance de disposer d’un langage commun, d’une terminologie qui permette de classer les événements dans différentes catégories, de comparer les menaces et leur évolution dans le temps, afin d’en avoir une vision historique.
Cela permettrait à l’assurance des risques cyber de se développer ?
Oui, à condition de les connaître, de pouvoir les classifier afin de savoir quelle partie est couverte par une assurance. Le vrai enjeu ici est celui de l’éducation au risque et sa prévention. Si l’on poursuit l’analogie avec la pandémie de Covid-19, on voit que l’on a appris aux gens des règles sanitaires, des gestes de base pour se protéger du coronavirus et en limiter la propagation. La cybersécurité est encore un domaine relativement secret. Seules certaines personnes connaissent les informations sur les attaques qui sont menées contre des entreprises, ce n’est pas très visible du grand public. Un public non averti ne peut pas faire de prévention sur ses appareils connectés car il n’a pas « l’hygiène de base », il ne sait pas quels gestes faire pour se protéger, par exemple, faire des sauvegardes régulières. Ils ne peuvent donc pas s’assurer contre des risques qu’ils ignorent.
Pour assurer ces risques, il faudrait des décisions règlementaires et juridiques comme cela a été fait pour l’automobile : pour circuler, il est obligatoire d’assurer son véhicule contre les dommages potentiellement causés aux tiers. Dans le cas d’une cyber-pandémie, il faudrait aussi se poser la question de la mutualisation du risque et créer un pool public–privé comme c’est le cas pour une catastrophe naturelle majeure ou pour l’épidémie de Covid-19. Concrètement, en cas de crise, il faudrait créer un continuum de protection, qui aille de l’éducation et de la prévention à l’assistance technique.
Comment peut-on anticiper le risque d’une cyber-pandémie ?
C’est très difficile, parce que, comme pour la crise sanitaire, une cyber-pandémie entraînerait des risques multiples. Cela créerait en fait une interconnexion de crises et donc de risques. Pour anticiper un tel cyber-événement, il faut comprendre des scénarios multirisques comme, par exemple, ce qui s’est passé au Liban où il y a eu une crise économique en même temps que la pandémie de Covid-19 et l’explosion dans le port de Beyrouth…
Pour anticiper une menace, il faut se poser la question de sa temporalité et de son évolution possible au fil du temps. On ne peut pas avoir un scénario stable dans le temps, il faut régulièrement le reprendre. Pour être résilient, il faut continuer à anticiper en mode prévisionnel et prospectif à plus long terme.
En fait, l’anticipation repose sur deux types d’exercices différents. D’une part, une tour de contrôle fait de la veille prospective au quotidien sur de nombreux sujets, par exemple dans le cas d’une cyberattaque, quel rôle pourrait jouer l’ordinateur quantique. D’autre part, sur le plan pratique, on anticipe des scénarios de crise, par exemple, comment gérer une cyberattaque en confinement, a‑t-on anticipé le travail en mode papier-crayon ? L’anticipation repose des cellules et des temporalités différentes. Si je caricature, il faut, des « geeks » qui font de la threat intelligence à un horizon de temps de 2 mois et des actuaires qui évaluent le risque à long terme. Toute la difficulté consiste à connecter ces deux mondes, qui ont des échelles de temps différentes, en ayant des temporalités intermédiaires !
