Selon l’agence Morningstar DBRS, la panne qui a touché de nombreux systèmes informatiques partout dans le monde le 19 juillet n’aura pas d’impact à long terme sur la cote de crédit des institutions financières et des assureurs.
La note, intitulée Global IT Outage: Widespread Disruption to Corporates and Financial Services: Lasting Impact is Limited, a été publiée le même jour par l’agence de notation. L’analyse porte sur différents secteurs d’activités et dans la plupart des cas, ses auteurs estiment que l’impact sera d’une durée limitée.
« Considérant qu’une solution informatique temporaire a été développée et devrait être lancée rapidement, la durée de cet événement sera probablement courte », indique l’agence.
La Bourse de Londres et la Banque JP Morgan ont vécu des perturbations le 19 juillet, mais les institutions financières n’ont pas été affectées outre mesure par la panne.
L’agence constate aussi que l’action de CrowdStrike, à l’origine de la panne qui a frappé les utilisateurs de l’environnement Windows, a subi les contrecoups le jour même.
Cette baisse s’est poursuivie sur l’indice Nasdaq le lundi 22 juillet, selon les vérifications faites par le Portail de l’assurance. Alors que l’action valait 378,81 $ à l’ouverture des marchés le mardi 16 juillet, cinq jours plus tard, le titre valait 263,91 $. Cela représente une baisse de 30,3 % en cinq jours.
« Cet incident pourrait soulever également des questions réglementaires sur la nature oligopolistique des infrastructures informatiques critiques à l’échelle mondiale et pourrait avoir un impact sur l’environnement de l’industrie du logiciel à long terme », souligne l’agence.
Le voyage
Les compagnies aériennes ont suspendu de nombreux vols durant plusieurs heures ce jour-là, incapables de valider les réservations. Les perturbations se sont prolongées durant le week-end. Plusieurs aéroports sentiront les impacts de ces retards et annulations durant la semaine suivante, mais cela ne devrait pas affecter leur solidité financière.
Il y a un secteur où le chaos pourrait durer un peu plus longtemps : l’industrie touristique. Les fournisseurs d’assurance voyage verront les impacts sur leur ratio combiné et leurs résultats d’exploitation au troisième trimestre de 2024.
« Nous prévoyons une augmentation des réclamations d’assurance voyage liées aux annulations et aux retards de vols à la suite de la perturbation du transport aérien mondial », indique-t-on dans la note.
Malgré les efforts des transporteurs aériens pour combler les retards, rembourser les billets ou replacer les passages sur d’autres liaisons, les conditions d’application des polices d’assurance voyage seront en vigueur. Les dépenses non remboursables comme les réservations d’hôtel ou de location de véhicules devront être indemnisées.
L’agence rappelle que les principaux fournisseurs du produit ne devraient pas en souffrir, puisque les produits d’assurance voyage représentent généralement moins de 5 % de leurs primes brutes souscrites. On peut cependant prévoir que la tarification des garanties associées à l’assurance voyage sera révisée à la hausse, soulignent les auteurs de la note.
Interruption des affaires
La chaîne d’approvisionnement du commerce électronique a été perturbée par la panne, mais encore une fois, Morningstar DBRS note que les impacts seront limités et à court terme. Des services de livraison comme UPS et FedEx ont connu des retards, ce qui pourrait avoir un impact sur les activités durant quelques jours.
L’agence fait observer que la panne provoquera certainement des réclamations pour la protection de l’assurance contre l’interruption des affaires. De manière générale, cette protection ne couvre pas les pertes subies si l’interruption découle d’un événement de type cyber.
« Les sinistres causés par l’incapacité d’exploiter certains systèmes informatiques seraient généralement couverts par l’avenant interruption des activités d’une police d’assurance cyber, qui est un sous-ensemble plus réduit des polices disponibles sur le marché couvrant l’interruption des affaires », indiquent les auteurs de la note.
De plus, ces garanties comprennent généralement une franchise pour les 24 ou 48 premières heures de l’interruption. Selon la durée de l’impact ressenti par la panne, ces réclamations pourraient ne pas être couvertes.
À l’instar d’autres produits d’assurance potentiellement exposés à des pertes catastrophiques, les assureurs et les réassureurs accordent une plus grande attention au « risque d’accumulation », ou au risque d’un seul cyberévénement touchant simultanément un très grand nombre d’assurés.
« L’événement illustre une fois de plus que le risque cyber est susceptible de générer une chaîne de pertes hautement corrélées en raison de l’augmentation de la connectivité des communications mondiales et l’utilisation généralisée de systèmes informatiques spécifiques », conclut l’agence.
Les détails de la panne
Le 21 juillet, la firme mondiale Aon a publié un rapport d’incident sur la panne provoquée par CrowdStrike et ses impacts sur l’assurance cybernétique. On en apprend un peu plus sur ce fournisseur de Microsoft.
Fondée en 2011 et basée à Austin (Texas), la compagnie offre une douzaine d’outils et solutions qui protègent les systèmes informatiques. Quelque 300 des 500 sociétés les plus importantes, selon Fortune, utilisent ses produits. Cela inclut 6 des 10 plus grands fournisseurs de soins de santé, 8 des 10 plus grandes firmes de services financiers et 8 des 10 plus grandes sociétés de services technologiques.
Sa plateforme Falcon, qui surveille les virus informatiques, est au cœur de la panne. La mise à jour d’un des détecteurs de Falcon a été lancée à 4 h 9 (heure de Greenwich) le 19 juillet. Une erreur dans sa configuration a provoqué le plantage des systèmes et l’apparition de l’écran bleu signalant le problème, lequel a été corrigé par un « patch » dès 5 h 27.
Néanmoins, la version 7.11 du détecteur de Falcon pour les utilisateurs sur Windows a provoqué des pannes chez les clients dont la mise à jour a été faite durant cet intervalle de 78 minutes. La mise à jour ne touchait pas les utilisateurs de systèmes MacOs ou Linux.
Microsoft estime que 8,5 millions d’utilisateurs de Windows ont été affectés par la panne. Les compagnies aériennes ont ainsi annulé plus de 3 000 départs et 23 000 autres ont été retardés. Certains systèmes de paiement électronique ont été temporairement inutilisables, ce qui a compliqué la vie des consommateurs et des détaillants.
Aon recommande aux experts chargés de la mise à jour des systèmes de suivre les instructions de leurs fournisseurs pour rétablir la situation. « Les entreprises devraient évaluer toute forme d’exposition des tiers et des quatrièmes parties à cet incident. Même si votre organisation n’a pas été impactée ou a corrigé le problème, il peut y avoir des parties externes sur lesquelles votre organisation s’appuie et qui en subissent les impacts », indique-t-on dans le rapport d’incident.
Impacts sur l’assurance
Comme il ne s’agit pas d’un incident malveillant basé sur une tentative de piratage, le risque de panne de système est couvert par l’avenant spécifique au risque cyber dans la plupart des contrats.
La perte pour l’interruption des affaires, lorsqu’elle est couverte, sera celle qui générera le plus de réclamations, selon Aon. Chaque contrat comprend une franchise minimale pour la durée de l’interruption, laquelle peut varier de 6 à 24 heures selon ce qui a été négocié.
La couverture pour la perte de revenus sera plus complexe à obtenir pour les entreprises assurées, car dans bien des cas, les ventes sont simplement reportées ou peuvent être faites en mode manuel, sans support informatique.
L’entreprise assurée peut cependant avoir subi des impacts liés à cette interruption des affaires vécue par un fournisseur dont elle est dépendante. Des dépenses additionnelles sont à prévoir pour rétablir la connectivité des interactions.
Aon conclut en indiquant que ce sinistre pourrait être la plus importante perte reliée au risque cyber depuis le ver informatique NotPetya en 2017 et les demandes de rançon qui ont suivi.
Néanmoins, l’ampleur de la perte demeure incertaine et dépendra de deux facteurs, selon Aon. Premièrement : la prévalence de la couverture en cas de panne du système, qui varie selon le marché; deuxièmement : la durée requise pour réussir la correction manuelle chez chaque assuré concerné, par rapport aux délais d’attente applicables sur leurs polices cyber.