Coup de projecteur sur l’assurance cyber

Olivier Lopez, Ph.D.

Au travers d’interviews de personnalités du secteur de la finance et de l’assurance, nous vous proposons de développer les sujets d’actualité qui secouent nos industries. Aujourd’hui, place à l’assurance cyber.

Nous avons eu le plaisir de nous entretenir avec Olivier Lopez, professeur à Sorbonne Université, directeur de l’ISUP et directeur scientifique chez Detralytics. Depuis 4 ans, Olivier explore tous les recoins de l’assurance cyber depuis son constat sur l’essor d’un risque nouveau et de l’absence de méthodes pour quantifier le risque. Il est actuellement co-porteur d’un projet de recherche sur le sujet auprès de la Fondation du Risque, financé par le Fonds AXA pour la recherche.

Parce que nous avons tous nos préférences, trois options s’offrent à vous pour découvrir cette interview :

  • la version podcast;
  • la vidéo qui va droit à l’essentiel;
  • ou l’article complet.

 

 

Bonjour Olivier, l’assurance cyber, on en entend de plus en plus parler. Que lui vaut ce coup de projecteur ?

Il y a eu un accroissement de l’usage des outils numériques, notamment avec la crise du COVID 19, et à travers cette dépendance accrue au numérique on a vu se développer la menace cyber, qui était déjà présente avant mais qui a fortement augmenté ces derniers mois. Notre secteur économique et notre vie quotidienne sont de plus en plus exposés à ces risques cyber. Le poids du numérique dans l’économie rend aujourd’hui nécessaire l’utilisation d’outils assurantiels pour se protéger et c’est dans ce cadre qu’il est nécessaire de construire un marché de la cyber assurance, actuellement en plein développement.

 

En 2020, 192 attaques significatives au ransomware ont été répertoriées par l’Agence Nationale de la sécurité des systèmes informatique contre 54 pour l’ensemble de l’année 2019, soit une hausse de 255% en une année (Source CERT-FR). Pourquoi faut-il craindre le risque cyber ? 

Le risque cyber fait peur essentiellement pour deux raisons.  D’une part, on peut avoir un cas « classique » d’une entité qui se fait attaquer, ce qui engendre un coût énorme lié à diverses conséquences qu’engendre une attaque cyber, parmi lesquelles la perte d’activité. D’autre part, il n’est pas exclu que le phénomène prenne une plus grande ampleur et celle-ci est souvent difficile à prévoir. On parle alors des phénomènes dits d’accumulation, qui sont des phénomènes massifs qui peuvent mettre en danger la mutualisation comme ça a déjà été le cas, notamment avec les épisodes « Wannacry » ou « NotPetya » qui ont tous deux eu lieu en 2017.

 

Quelles sont les problématiques qui découlent de ces évènements massifs pour les assureurs ?

C’est là que ça devient problématique. Le cas NotPetya, par exemple, a été assimilé à un acte de cyber guerre, on pourrait alors se dire que finalement ce cas ne relève pas forcément du périmètre de l’assurance puisqu’il y a notamment des questions d’exclusion qui sont introduites dans les garanties et qui peuvent protéger l’assureur contre ce type d’évènement. En réalité, c’est assez illusoire parce que les exclusions sont difficiles à définir dans le cadre d’une assurance cyber, et on peut aussi tout à fait avoir des évènements massifs qui ne sont pas assimilables à des actes de guerre.

 

D’un point de vue actuariel, quelles sont les principales difficultés relatives au développement de produits d’assurance cyber adéquats ?

L’une des difficultés est la tarification. Donner un prix au risque cyber peut s’avérer compliqué, notamment avec les éléments concurrentiels dans le champ de la tarification qui corsent le jeu. Un autre point d’une importance capitale est la gestion des engagements pris par l’assureur, autrement dit la gestion des risques. L’assureur doit être capable de gérer le plus grand nombre de risques et donc d’offrir des couvertures suffisamment larges pour répondre au besoin de la société en termes de cyber assurance. Le défi pour les actuaires c’est donc d’une part de développer des produits d’assurance cyber qui à la fois correspondent à bonne tarification du risque, et suffisamment robustes pour pouvoir servir de parapluie en cas de cyber ouragan.

De plus, aujourd’hui, face à un risque qui fait peur, on essaye d’exclure des garantis un certain nombre d’évènements qui sont peu maitrisés. Cette logique d’exclusion est sans doute partiellement nécessaire, mais elle limite également la qualité et l’attrait des produits et donc, limite le nombre de personnes qui vont souscrire ces contrats de cyber assurance et, par la même, freiner la mutualisation.

 

Quels sont les enjeux pour le secteur actuariel ?

L’enjeu est d’une certaine façon assez historique car ce n’est pas tous les jours qu’il y a un risque nouveau de cette ampleur qui émerge. L’assurance est attendue comme l’un des facteurs de résilience dans ce domaine du cyber risque et les enjeux pour le secteur actuariel c’est de développer une solide connaissance de ce risque, réussir à le maitriser et être en mesure de proposer des solutions qui restent attractives.

 

Quelles sont les méthodes qui permettent d’évaluer ces risques à ce jour ?

Il y a différentes méthodes et différents modèles qui permettent de mieux appréhender ces risques, bien que ces méthodes et modèles ne soient pas évidents et complétement aboutis. Il faudrait idéalement que ces outils soient capables de surmonter certaines difficultés et donc de prendre en compte des critères parfois difficiles à mesurer comme l’ampleur de l’évènement, sa sévérité ou la rapidité de son évolution dans le temps.

 

Face à toutes ces difficultés, quels conseils auriez-vous à donner aux actuaires qui souhaitent se lancer dans la cyber assurance ?

Avant d’attaquer la question de la cyber assurance il faut s’appliquer à comprendre le risque et les grandes problématiques qui y sont liées.  Dans la compréhension du risque, il faut prendre en compte non seulement les éléments techniques mais le fonctionnement du risque, le fonctionnement des attaques cyber et l’aspect humain, qui est particulièrement crucial et presque prépondérant par rapport au reste. En effet, l’une des spécificités du risque cyber c’est que c’est un risque qui est essentiellement humain, avec un potentiel de catastrophe sans que ce soit un risque de catastrophe naturelle. De plus, c’est un phénomène qui évolue très rapidement dans le temps et qui est potentiellement extrêmement sévère. Et comme c’est un risque relativement nouveau, nous en avons une connaissance imparfaite. Il faut apprendre progressivement en intégrant à la fois de l’expertise mais aussi des informations statistiques fiables et des techniques actuarielles robustes pour pouvoir évaluer ces risques. Si on veut être capable d’anticiper et gérer le risque cyber, il faut donc des outils qui aient la capacité d’anticiper et modéliser les comportements des différents acteurs, et de s’adapter à leur évolution constante. Si on ne comprend pas bien ces mécanismes on risque d’avoir toujours un temps de retard sur l’évaluation de ce risque.

 

Un dernier mot pour la fin ?

Mettez à jour votre système d’exploitation !