Le risque cyber, qui peut prendre la forme d’un piratage de site, d’un vol de données ou d’une usurpation d’identité, est devenu un risque assurantiel à part entière pour les entreprises, qui sont de plus en plus conscientes de la nécessité de le garder à l’oeil et d’apprendre à le gérer efficacement. Etant particulièrement volatile, le risque cyber pose un double défi au secteur de l’assurance. Le premier tient du manque de source de données de référence sur lesquelles s’appuyer pour ce type de risque : l’historique de sinistralité lacunaire, voire inexistant, oblige les actuaires à mener des sondages, analyses de marché et autres informations de haut niveau pour prévoir et tarifier le risque cyber. En revanche, avec cette façon de faire, il est impossible de prendre en compte le paysage mouvant des menaces cyber, et d’anticiper l’impact d’événements majeurs potentiels. Le deuxième tient au fait que les motivations humaines, variable essentielle de l’équation du risque cyber, sont difficiles à mesurer ou à définir lors de la souscription.
Ces raisons expliquent en quoi la modélisation cyber est complexe et nécessite une approche radicalement différente des prévisions catastrophes traditionnelles pour prendre en compte le phénomène d’accumulation de risques, qui est souvent invisible, constamment changeant, et peut revêtir une ampleur mondiale.
Le risque cyber est complexe
Les cyber-attaques et violations de données constituent une menace largement répandue à présent, qui ne peut être ignorée : 51 % des entreprises cotées en bourse ont déclaré avoir été victime, en 2018, d’une cyberattaque ou d’une atteinte aux données, un chiffre révélant l’intensification de la fréquence et de la sévérité de tels incidents, malgré leur caractère imprévisible.
Il est important de préciser que le risque cyber ne relève pas d’une question de technologie mais plutôt d’un comportement humain. Un chiffre l’atteste : 66% des intrusions et pertes de données sont en réalité dues à une négligence, voire un acte malfaisant d’employés de l’entreprise. En dépit de l’utilisation d’un pare-feu ou d’un réseau crypté, la différence se fait véritablement grâce au comportement des employés. Pour les assureurs, il s’agit de pouvoir évaluer ce facteur humain.
La tâche devient encore plus compliquée quand les événements prennent de l’ampleur, comme l’attaque du ransomware NotPetya en juin 2017, qui avait occasionné, à travers le monde entier, des dommages considérables, et causé un cumul de 10 milliards de dollars de pertes au total. Cette attaque a impacté plusieurs grandes entreprises et un grand nombre de sociétés plus petites. Cet exemple illustre parfaitement en quoi la simulation de l’accumulation du risque en assurance cyber est nécessaire.
Enfin, à cause de la nature constamment mouvante du risque cyber, beaucoup d’entreprises ont du mal à s’aligner et à prendre les mesures de sécurité adéquates. Par conséquent, la mise en place de processus au sein d’une entreprise assurée joue un rôle primordial dans sa vulnérabilité au risque.
La modélisation du risque cyber requiert un grand nombre de données
Plusieurs défis fondamentaux se posent dans le processus de modélisation du risque cyber : le manque de données de référence en matière de cyber, qui impose aux acteurs de l’assurance de collecter d’eux-mêmes ce type de données avec des solutions adaptées ; le manque d’évaluation holistique, rendant impossible la modélisation de l’ensemble des comportements de tous les individus susceptibles d’être impliqués dans un risque cyber ; et la difficulté pour l’assurance de traduire le risque cyber en probabilités et en coûts, à partir des informations techniques de la communauté de la cybersécurité. Face à ces défis, il faut réfléchir à une façon de modéliser et d’analyser l’évaluation assurantielle du risque.
Pour cela, il faut rassembler un très grand volume de données variées, qui changent à grande vélocité, et les utiliser dans des modèles capables de reproduire la complexité du risque cyber, pour fournir une vision holistique du risque, pour les besoins prédictifs des acteurs de l’assurance.
Les assureurs pourront, grâce à ces bonnes pratiques, accompagner proactivement leurs clients pour se prémunir contre l’impact et le coût d’une cyber-attaque et, à long terme, améliorer la gestion de leur portefeuille. L’assurance cyber représente indéniablement une source de défis d’ordre techniques et actuariels ; mais il est désormais possible, grâce à des solutions adaptées, de tirer parti des opportunités qui se cachent derrière le risque cyber.
Patrick Soulignac, Principal Solution Consultant, Guidewire