Publication : L'actuariel Octobre 2018

Cyberassurance : digérer la part de risques

Coralie Baumard

INNOVER FACE AU MANQUE DE DONNÉES

« Un manque cruel de données, des données peu fiables et un risque qui est toujours en train d’évoluer, stable ni du point de vue réglementaire, ni du point de vue technique. Le risque cyber est un casse-tête pour l’actuaire et les assureurs », déclare Florian Pons. Impossible de l’appréhender en s’appuyant uniquement sur les données d’un portefeuille, il est nécessaire d’y associer des sources externes. « Il y a peu de bases de données sur le cyber et elles sont très incomplètes et peu fiables. Et c’est un défi pour les assureurs européens car les données sont exclusivement américaines », ajoute Alexandre Hassler. Autre écueil : le comportement des assurés. Si certaines attaques ne sont pas déclarées parce qu’elles ne sont pas détectées, d’autres sont volontairement passées sous silence. « Les entreprises sont peu enclines à communiquer car elles considèrent que le risque d’image leur est encore plus préjudiciable. Mais les obligations de déclaration de vol de données (NDLR : RGPD) pourraient changer la donne car les assurés peuvent se mettre à déclarer des sinistres et entraîner une hausse de la sinistralité. Sur un risque nouveau où la réglementation évolue, c’est tout à fait envisageable d’avoir un changement de comportement. Cela entre dans les défis de l’actuaire. Il faut évaluer à quel point ce comportement est fiable dans le temps », énonce Florian Pons.

Face au cyberrisque, il s’avère décidément nécessaire d’innover et d’abandonner le modèle traditionnel de la fréquence et du coût. « Pour développer mes modèles, j’ai choisi une approche d’intelligence économique. Elle consiste à agréger l’ensemble des informations qui concernent l’entreprise, son écosystème et ses données pour, à partir de là, évaluer pour quelles raisons et dans quelle mesure elle pourrait être touchée », explique Alexandre Hassler. Mais le risque cyber n’est pas qu’un risque technologique. « L’approche des actuaires consiste à analyser tous les facteurs de risque : les aspects informatique et technologique bien sûr, mais aussi géopolitique et statistique, et surtout la dimension humaine. L’organisation de la gouvernance donne une très bonne indication sur le risque. Le conseil d’administration travaille-t-il sur le cyber, la sécurité informatique est-elle correctement représentée au Comex, quel pourcentage représente la sécurité informatique dans le budget informatique, existe-t-il des exercices de plan de continuité d’activité spécifiques au cyberrisque, l’ensemble de l’entreprise est-elle concernée ou considère-t-on à tort que le cyberrisque est l’affaire des informaticiens ? Autant de critères essentiels pour l’évaluation », énumère Florence Picard.

Et c’est sans compter les évolutions et les révolutions technologiques. « Il faut sortir du cadre assurantiel pur et appréhender le risque de manière plus globale. La blockchain, l’ordinateur quantique rebattent les cartes… Par exemple, une entreprise utilisant la blockchain comme système d’information pose d’autres problématiques. Puisque les données sont partagées, il importera de déterminer si la blockchain a été correctement mise en place pour assurer l’intégrité des données et protéger les données contre les fuites », assure Alexandre Hassler. Pour imaginer le futur de la cyberassurance, la maîtrise de ces technologies est aussi essentielle.

1. Economic Impact of Cybercrime – No Slowing Down, McAfee et CSIS, février 2018

Lire l’interview