Cyber-malveillance, un risque difficile à assurer ?

La croissance de l’économie digitale a apporté de profondes transformations dans la plupart des secteurs économiques. Ces mutations ont modifié la cartographie des risques encourus par les entreprises, notamment les risques liés aux systèmes d’information. En quelques années, le cyber-risque est apparu comme l’une des menaces principales pesant sur les entreprises (rapport du Ministère de l’Intérieur [RM19]). Pour Jerome Powell, président de la Réserve Fédérale américaine, les cyber-attaques constituent, aujourd’hui, la principale menace pesant sur le système financier mondial, coûtant 1% du PIB mondial, soit mille milliards de dollars. L’assurance apparaît dès lors comme un outil favorisant la résilience de l’économie face à ce risque majeur, voire un élément de cyber-défense puisque la cyber-sécurité physique, essentielle pour limiter et prévenir les attaques, ne peut parvenir à constituer un bouclier impénétrable contre ces agressions numériques. Si le développement du marché de la cyber-assurance est en cours (avec des offres innovantes qui couplent prévention, réparation financière, et accompagnement en cas de crise), il achoppe sur un certain nombre de difficultés, ce qui peut expliquer le ralentissement des souscriptions en France, après un développement important.

Les entreprises sont vulnérables face au risque cyber

D’après l’étude « Lumière sur la Cyber-Assurance » (LUCY) de l’AMRAE (donnant une photographie précise des primes perçues en France via le courtage en assurance, ainsi que de la sinistralité sur les années 2019 et 2020), 87 % des grandes entreprises sont couvertes par un contrat d’assurance cyber, alors que le taux de couverture des TPE/PME, ETI et collectivités publiques est encore largement insuffisant (seul 8% pour les ETI). Or ces entreprises sont particulièrement vulnérables contre le risque cyber, à la fois en termes de capacités à analyser leur propre risque, à cerner et à mettre en œuvre les bonnes pratiques de sécurité informatique, tant qu’en termes de matelas financier pour amortir les chocs d’une attaque cyber.

Le risque cyber : une menace pour le secteur assurantiel

L’étude LUCY de l’AMRAE attire également notre attention sur le ratio S/P (rapports « Sinistres sur Primes »), qui est extrêmement dégradé (167 %) pour l’année 2020. Dans un système équilibré, les primes permettent l’absorption du coût des sinistres, et un S/P faible (inférieur à 100 %) traduit une bonne anticipation de l’évolution du risque. Les chiffres extrêmement élevés de l’AMRAE soulignent le flou dans lequel baigne le secteur, et combien la quantification du risque est compliquée.

Face au caractère systémique et extrême du risque cyber, de nombreuses questions se posent sur la viabilité du marché de la cyber-assurance et sur la capacité du secteur à mutualiser les pertes en cas de sinistre majeur. Pour voir émerger une protection financière économiquement viable, il est nécessaire de quantifier les impacts du risque-cyber. Or, cette évaluation d’un risque aux multiples facettes nécessite des techniques statistiques et probabilistes avancées en vue d’anticiper les coûts, l’évolution de la menace et de ses impacts financiers.   

Figure 1 : Proportion de sinistres cyber dans chaque tranche de dommages 

Source : étude LUCY de l’AMRAE 2021

D’après [LUCY21], l’augmentation significative des pertes en 2020 est due à la survenance de seulement 4 sinistres de taille XXL. Cette extrême volatilité des coûts invite à se tourner vers la Théorie des Valeurs Extrêmes. Ce champ statistique concerne l’étude et la classification des queues de distributions de phénomènes aléatoires, i.e. les zones de grandes valeurs correspondant à des scénarios pessimistes, mais pas complètement improbables. L’indice de queue est la mesure permettant de quantifier la sévérité d’un tel phénomène.  Dans le cas du risque cyber, la queue est trop « lourde », ce qui signifie que la mutualisation (qui est au cœur de l’assurance) échoue, car les scénarios extrêmes sont trop fréquents. Pour faire face à un tel risque, une solution est de redessiner le périmètre du contrat. En introduisant des limites et des conditions dans les réparations financières, on réduit l'incertitude du résultat et la gestion des risques peut être effectuée. Mais plus la queue de la distribution est lourde, plus il faut ajouter de restrictions. La qualité de la couverture diminue, réduisant l'attractivité du contrat. C'est un enjeu pour les assurés, mais aussi pour la compagnie d'assurance qui attire moins de clients, mettant à nouveau en danger la mutualisation : un cercle vicieux s’enclenche.

Des apports académiques pour mieux quantifier le risque cyber

Dans [FLT21], nous fournissons des méthodologies pour mieux comprendre quels facteurs (comportement, secteur d'activité de la victime, type d'attaque…) sont déterminants pour la queue de la distribution des cyber-réclamations. Ces outils (mélangeant des techniques de science des données avec des outils statistiques avancés issus de la Théorie des Valeurs Extrêmes) permettent de faire la distinction entre ce qui peut être assuré ou non, permettant ainsi d'améliorer la couverture en l'adaptant au profil des clients.

Cette sévérité extrême d’un événement frappant une seule victime ne doit pas occulter le danger posé par le caractère systémique du risque cyber. La majorité des systèmes d'information étant interconnectés, une attaque cyber peut entraîner des contagions et des défaillances massives pouvant mettre à l’arrêt une économie, ou a minima mettre en danger la solvabilité d’un assureur. Nous expliquons quels modèles récents peuvent être utilisés, en termes de modélisation de la fréquence des cyber-attaques (par des processus de Hawkes [BBH20] permettant de capter des effets de dépendance et de contagion complexes), ainsi qu’en termes de constructions de scénarios de cyber-ouragan (par des modèles épidémiologiques [HL21]), afin d’anticiper les contre-mesures et leurs impacts face à cette menace.

Ces modèles, indispensables à la quantification du risque, nécessitent des données appropriées pour être calibrés. La constitution de bases de données mutualisées entre acteurs de la défense cyber (assureurs, pouvoirs publics, acteurs de la cyber-sécurité…) nous paraît essentielle en vue de la constitution d’un modèle économique viable pour l’assurance ; le cloisonnement des informations (par exemple dans l’espoir vain d’en tirer un avantage concurrentiel) étant à contretemps de l’urgence d’une meilleure quantification et anticipation collective de ce risque. Dans un numéro de la collection Opinions & Débats [HLod21], nous émettons des recommandations sur la constitution de bases d’informations cohérentes sur le risque cyber, élément essentiel pour effectuer un suivi adapté de ce risque changeant et foncièrement humain, afin que nos sociétés soient plus résilientes face à la menace cyber.

[HLod21] C. Hillairet et O. Lopez. « Cyber-assurance : enjeux, modélisations et leviers de mutualisation », Opinions & Débats n°24, Institut Louis Bachelier, 2021.

[BBH20] Y. Bessy-Roland, A. Boumezoued and C. Hillairet. « Multivariate Hawkes process for cyber insurance », Annals of Actuarial Science, 2020.

[FLT21] S. Farkas, O. Lopez and M. Thomas.  « Cyber claim analysis through Generalized Pareto Regression Trees with applications to insurance pricing and reserving », Insurance: Mathematics and Economics, 2021.

[HL21] C. Hillairet and O. Lopez. « Propagation of cyber incidents in an insurance portfolio : counting processes combined with compartmental epidemiological models », Scandinavian Actuarial Journal, 2021.

[LUCY21] Association pour le Management des Risques et des Assurances de l’Entreprise. « LUCY : LUmière sur la CYberassurance. » AMRAE, 2021.

[RM19] Etat de la menace numérique en 2019, https://www.interieur.gouv.fr/Actualites/Communiques/L-etat-de-la-menace-liee-au-numerique-en-2019