Assurance des cyber-risques : comment les modéliser pour s’en prémunir ?

Qu’il s’agisse du piratage d’un site, d’un vol de données ou d’une usurpation d’identité, le risque cyber constitue un nouveau risque assurantiel pour les entreprises ; elles sont de plus en plus conscientes de la nécessité de le regarder de près et d’apprendre à le gérer avec efficacité. Sa nature volatile pose en effet un double défi spécifique au secteur de l’assurance. D’une part parce qu’il n’y a pas de source de données de référence sur le risque cyber sur laquelle s’appuyer : l’historique de sinistralité est souvent lacunaire voire inexistant, obligeant les actuaires à recourir à des sondages, analyses de marché et autres informations de haut niveau pour prévoir et tarifier le risque cyber.

Cette façon de faire empêche en revanche de prendre en compte le paysage mouvant des menaces cyber, et d’anticiper l’impact d’événements majeurs potentiels. D’autre part parce que les motivations humaines, qui constituent une variable essentielle de l’équation du risque cyber, sont difficiles à mesurer ou à définir lors de la souscription. C’est pourquoi la modélisation cyber est complexe et doit se différencier radicalement de la prévision traditionnelle des catastrophes pour prendre en compte le phénomène d’accumulation de risques, qui est souvent invisible, constamment changeant, et peut revêtir une ampleur mondiale.

Comprendre les complexités du risque cyber

L’impact du risque cyber peut être considérable : cyber-attaques et violations de données constituent désormais une menace largement répandue, qui ne peut être ignorée. 51 % des entreprises cotées en Bourse ont déclaré avoir été victime d’une cyberattaque ou d’une atteinte aux données en 2018. Un chiffre qui révèle à quel point la fréquence et la sévérité de tels incidents deviennent statistiquement significatives, malgré leur caractère imprévisible.

Il faut savoir que le risque cyber n’est pas une question de technologie mais plutôt de comportement humain ; en effet, 66 % des intrusions et pertes de données sont en réalité le résultat d’une négligence, voire d’un acte malfaisant d’employés de l’entreprise. Au-delà de n’importe quel pare-feu ou réseau crypté, c’est bel et bien le comportement des employés qui fait la différence. Pour les assureurs, cela implique de pouvoir évaluer ce facteur humain.

Les choses se compliquent encore quand il s’agit d’événements de grande ampleur, comme le fut par exemple l’attaque NotPetya : ce ransomware s’était répandu dans le monde entier en juin 2017, et avait occasionné des dommages considérables, avec des pertes cumulées évaluées à environ 10 milliards de dollars dans le monde. Plusieurs grandes entreprises en ont souffert, et un grand nombre de sociétés plus petites ont été impactées significativement. C’est une parfaite illustration de la nécessité de simuler l’accumulation du risque en assurance cyber.

Enfin, il faut savoir que le risque cyber est un champ constamment mouvant, au point que nombre d’entreprises ont du mal à se mettre à jour et à prendre les mesures de sécurité adéquates. Par conséquent, les processus en place dans une entreprise assurée jouent un rôle primordial dans sa vulnérabilité au risque.

Pour modéliser le risque cyber, il faut beaucoup de données

La modélisation du risque cyber présente plusieurs défis fondamentaux : le manque de données de référence en matière de cyber, qui nécessite pour les acteurs de l’assurance de collecter eux-mêmes ce type de données avec des solutions adaptées ; le manque d’évaluation holistique, avec l’impossibilité de modéliser l’ensemble des comportements de tous les individus susceptibles d’avoir un rôle dans un risque cyber ; ou encore le manque de traduction du risque cyber en probabilités et en coûts pour l’assurance, à partir des informations techniques de la communauté de la cybersécurité. Pour faire face à ces défis de taille, il faut trouver une façon de modéliser et d’analyser de façon spécifique l’évaluation assurantielle du risque.

Cela nécessite de rassembler un très grand volume de données variées, qui changent à grande vélocité, et de les utiliser dans des modèles de risque reflétant la complexité du risque cyber, de façon à fournir une vision holistique du risque, répondant aux besoins prédictifs des acteurs de l’assurance.

En appliquant ces bonnes pratiques, les assureurs parviendront à accompagner proactivement leurs clients pour prévenir l’impact et le coût d’une cyber-attaque et, à long terme, améliorer la gestion de leur portefeuille. En conclusion, si l’assurance cyber pose indéniablement des défis d’ordre techniques et actuariels, il est désormais possible, grâce à des solutions adaptées, de tirer parti des opportunités qui se cachent derrière le risque cyber.