Avec l’essor de la transition numérique dans l’économie et la transformation digitale des entreprises qui accompagne cette évolution, les risques cyber sont devenus plus importants. Et ce phénomène n’est pas sans conséquence pour les entreprises et le secteur assurantiel.

La croissance de léconomie digitale a apporté de profondes transformations dans la plupart des secteurs économiques. Ces mutations ont modifié la cartographie des risques encourus par les entreprises, notamment les risques liés aux systèmes dinformation. En quelques années, le cyber-risque est apparu comme lune des menaces principales pesant sur les entreprises (rapport du Ministère de lIntérieur [RM19]). Pour Jerome Powell, président de la Réserve Fédérale américaine, les cyber-attaques constituent, aujourdhui, la principale menace pesant sur le système financier mondial, coûtant 1% du PIB mondial, soit mille milliards de dollars. Lassurance apparaît dès lors comme un outil favorisant la résilience de léconomie face à ce risque majeur, voire un élément de cyber-défense puisque la cyber-sécurité physique, essentielle pour limiter et prévenir les attaques, ne peut parvenir à constituer un bouclier impénétrable contre ces agressions numériques. Si le développement du marché de la cyber-assurance est en cours (avec des offres innovantes qui couplent prévention, réparation financière, et accompagnement en cas de crise), il achoppe sur un certain nombre de difficultés, ce qui peut expliquer le ralentissement des souscriptions en France, après un développement important.

Les entreprises sont vulnérables face au risque cyber

Daprès létude « Lumière sur la Cyber-Assurance » (LUCY) de lAMRAE (donnant une photographie précise des primes perçues en France via le courtage en assurance, ainsi que de la sinistralité sur les années 2019 et 2020), 87 % des grandes entreprises sont couvertes par un contrat dassurance cyber, alors que le taux de couverture des TPE/PME, ETI et collectivités publiques est encore largement insuffisant (seul 8% pour les ETI). Or ces entreprises sont particulièrement vulnérables contre le risque cyber, à la fois en termes de capacités à analyser leur propre risque, à cerner et à mettre en œuvre les bonnes pratiques de sécurité informatique, tant quen termes de matelas financier pour amortir les chocs dune attaque cyber.

Le risque cyber : une menace pour le secteur assurantiel

Létude LUCY de lAMRAE attire également notre attention sur le ratio S/P (rapports « Sinistres sur Primes »), qui est extrêmement dégradé (167 %) pour lannée 2020. Dans un système équilibré, les primes permettent labsorption du coût des sinistres, et un S/P faible (inférieur à 100 %) traduit une bonne anticipation de lévolution du risque. Les chiffres extrêmement élevés de lAMRAE soulignent le flou dans lequel baigne le secteur, et combien la quantification du risque est compliquée.

Face au caractère systémique et extrême du risque cyber, de nombreuses questions se posent sur la viabilité du marché de la cyber-assurance et sur la capacité du secteur à mutualiser les pertes en cas de sinistre majeur. Pour voir émerger une protection financière économiquement viable, il est nécessaire de quantifier les impacts du risque-cyber. Or, cette évaluation dun risque aux multiples facettes nécessite des techniques statistiques et probabilistes avancées en vue danticiper les coûts, lévolution de la menace et de ses impacts financiers.   

 

Figure 1 : Proportion de sinistres cyber dans chaque tranche de dommages 

Figure : Proportion de sinistres cyber dans chaque tranche de dommages

Source : étude LUCY de l’AMRAE 2021

Daprès [LUCY21], laugmentation significative des pertes en 2020 est due à la survenance de seulement 4 sinistres de taille XXL. Cette extrême volatilité des coûts invite à se tourner vers la Théorie des Valeurs Extrêmes. Ce champ statistique concerne létude et la classification des queues de distributions de phénomènes aléatoires, i.e. les zones de grandes valeurs correspondant à des scénarios pessimistes, mais pas complètement improbables. Lindice de queue est la mesure permettant de quantifier la sévérité dun tel phénomène.  Dans le cas du risque cyber, la queue est trop « lourde », ce qui signifie que la mutualisation (qui est au cœur de lassurance) échoue, car les scénarios extrêmes sont trop fréquents. Pour faire face à un tel risque, une solution est de redessiner le périmètre du contrat. En introduisant des limites et des conditions dans les réparations financières, on réduit l'incertitude du résultat et la gestion des risques peut être effectuée. Mais plus la queue de la distribution est lourde, plus il faut ajouter de restrictions. La qualité de la couverture diminue, réduisant l'attractivité du contrat. C'est un enjeu pour les assurés, mais aussi pour la compagnie d'assurance qui attire moins de clients, mettant à nouveau en danger la mutualisation : un cercle vicieux senclenche.

Des apports académiques pour mieux quantifier le risque cyber

Dans [FLT21], nous fournissons des méthodologies pour mieux comprendre quels facteurs (comportement, secteur d'activité de la victime, type d'attaque) sont déterminants pour la queue de la distribution des cyber-réclamations. Ces outils (mélangeant des techniques de science des données avec des outils statistiques avancés issus de la Théorie des Valeurs Extrêmes) permettent de faire la distinction entre ce qui peut être assuré ou non, permettant ainsi d'améliorer la couverture en l'adaptant au profil des clients.

Cette sévérité extrême dun événement frappant une seule victime ne doit pas occulter le danger posé par le caractère systémique du risque cyber. La majorité des systèmes d'information étant interconnectés, une attaque cyber peut entraîner des contagions et des défaillances massives pouvant mettre à larrêt une économie, ou a minima mettre en danger la solvabilité dun assureur. Nous expliquons quels modèles récents peuvent être utilisés, en termes de modélisation de la fréquence des cyber-attaques (par des processus de Hawkes [BBH20] permettant de capter des effets de dépendance et de contagion complexes), ainsi quen termes de constructions de scénarios de cyber-ouragan (par des modèles épidémiologiques [HL21]), afin danticiper les contre-mesures et leurs impacts face à cette menace.

Ces modèles, indispensables à la quantification du risque, nécessitent des données appropriées pour être calibrés. La constitution de bases de données mutualisées entre acteurs de la défense cyber (assureurs, pouvoirs publics, acteurs de la cyber-sécurité) nous paraît essentielle en vue de la constitution dun modèle économique viable pour lassurance ; le cloisonnement des informations (par exemple dans lespoir vain den tirer un avantage concurrentiel) étant à contretemps de lurgence dune meilleure quantification et anticipation collective de ce risque. Dans un numéro de la collection Opinions & Débats [HLod21], nous émettons des recommandations sur la constitution de bases dinformations cohérentes sur le risque cyber, élément essentiel pour effectuer un suivi adapté de ce risque changeant et foncièrement humain, afin que nos sociétés soient plus résilientes face à la menace cyber.

 

[HLod21] C. Hillairet et O. Lopez. « Cyber-assurance : enjeux, modélisations et leviers de mutualisation », Opinions & Débats n°24, Institut Louis Bachelier, 2021.

[BBH20] Y. Bessy-Roland, A. Boumezoued and C. Hillairet. « Multivariate Hawkes process for cyber insurance », Annals of Actuarial Science, 2020.

[FLT21] S. Farkas, O. Lopez and M. Thomas.  « Cyber claim analysis through Generalized Pareto Regression Trees with applications to insurance pricing and reserving », Insurance: Mathematics and Economics, 2021.

[HL21] C. Hillairet and O. Lopez. « Propagation of cyber incidents in an insurance portfolio : counting processes combined with compartmental epidemiological models », Scandinavian Actuarial Journal, 2021.

 

[LUCY21] Association pour le Management des Risques et des Assurances de l’Entreprise. « LUCY : LUmière sur la CYberassurance. » AMRAE, 2021.

[RM19] Etat de la menace numérique en 2019, https://www.interieur.gouv.fr/Actualites/Communiques/L-etat-de-la-menace-liee-au-numerique-en-2019