Pour bien comprendre les enjeux de la cybersécurité et de l’assurance qui en dépend, il faut comprendre la nature originale du cyberespace. Car cette nature offre de très grandes facilités d’intrusion et de camouflage aux entités malintentionnées ou délinquantes, fussent-elles des particuliers, des entreprises privées ou publiques, ou encore des États.
Le cyberespace est un bien commun. Personne ne peut se l’approprier. Certes, il y a les fournisseurs d’accès à Internet qui en sont le support matériel. Ils achètent et gèrent la bande passante électromagnétique pour offrir leurs services, ce qui suppose une forme d’appropriation. Ainsi, la bande passante des réseaux 4G et bientôt 5G est attribuée selon des procédures classiques d’appel d’offres comme une concession de service public. Mais l’accès à ces services ainsi que le contenu des échanges sont totalement libres, au grand dam des censeurs de tout poil qui voudraient bien limiter cette liberté – certains États y arrivent, mais en y mettant le prix politique. Surtout, tout ce qui est public, fût-il un texte, une image ou une vidéo, ne peut créer un droit de propriété en soi.
Le cyberespace n’exclut personne. Autrement dit, le fait d’y voyager n’empêche personne d’en faire autant en même temps. La métaphore du phare s’applique pleinement. Il éclaire tout un domaine maritime. Le fait de passer au large ne réduit pas la lumière reçue par les autres navires. Mais contrairement au phare qui est polarisé – il envoie de la lumière mais n’en reçoit pas –, le cyberespace est multipolaire. Chaque « cybernaute » connecté est un nœud qui reçoit autant qu’il émet. Il y a de ce fait un parallèle avec cet autre bien commun qu’est la santé. Chacun peut être contaminé par un virus tout en étant contaminant. Cette multipolarité a une conséquence majeure pour le droit de la responsabilité car dans un réseau fortement intriqué il est difficile de discerner le coupable de la victime.
L’accès au cyberespace a un coût marginal quasi nul. Le seul coût supporté par l’utilisateur est celui de son abonnement qui est fixe. La consommation d’électricité est négligeable, sauf pour les très gros utilisateurs. Remarquons toutefois que le coût total de fonctionnement du cyberespace est loin d’être négligeable car il faut faire fonctionner les serveurs et les mémoires contenues dans de gigantesques fermes supports du cloud. On dit qu’il faut la capacité de plusieurs centrales nucléaires pour faire fonctionner le cyberespace mondial. Mais ce coût total est réparti de façon inégalitaire et opaque entre tous les usagers du cyberespace, c’est-à-dire la quasi-totalité de la population mondiale. Les progrès dans la capacité électromagnétique des canaux (satellites, fibre optique, 4G puis 5G, etc.) ont permis jusqu’à présent d’éviter les encombrements, voire les embouteillages paralysant les communications. Il n’y a donc pas encore de coût marginal d’encombrement significatif.
L’utilité du cyberespace croît de façon exponentielle avec le nombre d’utilisateurs. En langage d’économiste on dit qu’il bénéficie d’un effet d’échelle positif. Plus il y a de sites, plus on peut trouver rapidement les informations recherchées. Réciproquement, plus il y a de sites plus on peut injecter des informations, des images, des textes ou des vidéos en étant sûr qu’ils seront lus ou du moins consultables par un grand nombre d’internautes.
La très grande quantité de données et d’informations de haute valeur économique disponibles dans le cyberespace, accessibles sans coût significatif avec une expertise informatique que n’importe quel professionnel lambda maîtrise, attire évidemment toutes les entités malveillantes, délinquantes, voire criminelles, tant privées que publiques. Malheureusement pour les victimes de cybercrimes, les coûts de la précaution et en second rideau ceux de l’assurance – qui s’ajoutent aux préjudices matériels et immatériels – sont importants. Le télétravail par exemple nécessite souvent un double équipement. Un matériel (smartphone, ordinateur) dédié à l’entreprise et à elle seulement, un autre pour la vie privée du télétravailleur. D’où une asymétrie préjudiciable à toutes les victimes potentielles : le cybercriminel peut agir de façon furtive sans capitaux ou presque. S’il est localisé dans un État autre que celui de ses victimes, surtout si son système judiciaire est peu contraignant, il encourt un faible risque d’être effectivement puni même s’il est découvert. En tout état de cause, s’il est arrêté et condamné, le cybercriminel ne pourra presque jamais réparer les dommages qu’il a engendrés. D’où l’importance de la précaution (antivirus, mises à jour de logiciels fréquentes, mots de passe sécurisés et changés périodiquement, stockages sécurisés, cryptages, etc.) et « en cas de malheur », l’importance de l’assurance.
Quatre des sept articles de la rubrique traitent de l’assurabilité du risque cyber. Un risque encore mal délimité, dont les dommages potentiels sont comparables à ceux des catastrophes naturelles. Philippe Cotelle l’analyse du point de vue d’une entreprise confrontée à ce risque. Pauline Vacher, Julien Soupizet, Jérôme Chartrain et Virginie Monteiro apportent leur expertise en tant qu’assureurs. Emilie Quema et Mary-Cécile Duchon apportent le point de vue du régulateur tandis que Christophe Delcamp en fait la synthèse. Nicolas Arpagian développe les paradoxes liés à la confusion victime-coupable, inhérents au fonctionnement du cyberespace, tandis que Jacques Pelletan analyse les aspects économiques de la cybercriminalité. Enfin, Pierre Martin, en tant qu’historien, rappelle que les guerres d’abord terrestres et maritimes, puis aériennes sont devenues « cyber ».
