Cyber assurance : vers une meilleure évaluation du coût des cyber risques

Qui dit nouvelles opportunités dit aussi nouveaux défis. L'économie digitale est en train de transformer de manière radicale notre façon de vivre, de travailler et de communiquer. Ces outils technologiques nous sont devenus indispensables. Cette relation de dépendance nous expose à des risques jusqu’alors inconnus, allant du simple bug à l'hacktivisme et au cyberterrorisme, et dont  l’impact peut être catastrophique : vol, corruption ou cryptage de données, interruption des activités, atteintes à la réputation, dommages matériels, etc. "Les compagnies d’assurances sont censées jouer un rôle crucial de protection financière. Cependant, la manière dont sont évaluées les  les risques cybernétiques actuellement, que ce soit à l’échelle de l’individu, de l’entreprise, ou d'une administration, est largement inadaptée, car ces risques sont nouveaux et très évolutifs", rapporte Olivier Lopez, professeur à l’Université de la Sorbonne (Paris, France) et directeur du département actuariel (discipline qui applique des méthodes mathématiques et statistiques en vue d’évaluer les risques dans le domaine de l’assurance, de la finance, etc.). Pour remédier à cette situation, lui et le Pr. Caroline Hillairet, en charge du programme de sciences actuarielles à l’ENSAE-ParisTech, se sont lancés dans un projet de recherche ambitieux, en partenariat avec les équipes opérationnelles de gestion des risques d’AXA. L'objectif, tel que le présente le Pr. Lopez, est d'examiner les coûts financiers des risques cybernétiques de manière adéquate. Plus précisément, le but est d'évaluer les conséquences des cyberattaques du point de vue des compagnies d'assurance afin de poser les bases  de solutions appropriées. Cette initiative de recherche conjointe entre dans le cadre d’un grand projet en cours chez AXA, le “cyber projet”, dont le but est de repenser la stratégie du groupe dans ce domaine.

L'utilisation de techniques statistiques avancées : pour surmonter les défis inhérents aux cyber-assurances
“Ces comportements ontété identifiés, et à peu près modélisés d'un point de vue économique. Cependant, la question de savoir comment estimer et calibrer les paramètres de tels modèles n'a pas encore été correctement traitée jusqu'à présent”, précise le Pr. Lopez. C'est là qu’intervient l’équipe académique, constituée de mathématiciens, d’experts en mégadonnées et d'économétriciens. Afin de bien refléter les spécificités de ce marché dans des modèles fidèles à la réalité et de compenser le manque et la troncation des informations disponibles, les scientifiquesvont devoirinnover, en utilisant et en combinant des techniques statistiques avancées. L'équipe utilisera notamment des outils issus de la théorie des'processus ponctuels', qui permet la saisie d'événements interdépendants et est donc adaptée à la modélisation des cyberattaques, leurs contrecoups et leur éventuelle contagion. Ils vont également se servir de la théorie des 'valeurs extrêmes’, une branche des sciences statistiques portant, comme le suggère son nom, sur les déviations extrêmes par rapport aux scénarios principaux. L'objectif de la recherche est double : modéliser les risques cybernétiques actuels, mais également les prévoir dans le futur. “En interaction avec la partie modélisation du projet, nous cherchons à construire des outils numériques permettant de simuler l'évolution du risque. L'objectif est de déterminer les scénarios possibles afin de déterminer le montant requis pour couvrir les garanties (nouvelles comme anciennes), et anticiper leurs tendances”, expliquent les chercheurs principaux, insistant sur le fait qu'une "proche collaboration avec les praticiens d'AXA va permettre auxdéveloppements académiquesdu projet d’être non seulement efficaces, mais également compatibles avec la réalité du terrain".

Selon un rapport publié par l'Organisation de coopération et de développement économiques (OCDE) à la suite de sa conférence sur le marché de la cyber assurance en 2018 : “un nombre de défis empêche l'expansion de la couverture des (cyber-) assurances, dont la faible sensibilisation aux risques, le manque de données sur les cyber incidents, la nature changeante des menaces cybernétiques et le potentiel en pertes accumulées”. En traitant trois des quatre obstacles identifiés ici, l'approche adoptée par cette initiative de recherche conjointe répond adéquatement à un défi contemporain crucial et sans précédent. En aidant les assureurs à développer de meilleures méthodes de modélisation de ces risques hautement complexes, les résultats contribueront non seulement à booster un secteur hautement prometteur pour les assurances, mais permettront également, et surtout, de réduire la gravité des violations cybernétiques, et leur impact potentiellement catastrophique.