Publication : L'actuariel Octobre 2018

Cyberassurance : digérer la part de risques

Coralie Baumard

Interview 

Olivier Lopez, Actuaire certifié IA, professeur de mathématiques appliquées au laboratoire de probabilités, statistique et modélisation à Sorbonne Université et directeur de l’Institut de statistique de l’université de Paris.

L’actuariel : Où en est aujourd’hui la recherche sur la modélisation du risque cyber ?

O. Lopez : Elle balbutie mais elle est active. Elle est assez liée historiquement à la recherche sur le risque opérationnel. La recherche essaie notamment de reprendre ce qui s’est fait dans ce risque en ajoutant une couche spécifique au risque cyber et notamment à sa cinétique. Le risque cyber évolue extrêmement vite, il faut donc essayer d’intégrer cette évolution et également de projeter le risque. Il est nécessaire de construire les modèles et en même temps les outils de veille pour pouvoir corriger le tir, rectifier le modèle si on repère une inflexion.

L’actuariel : Les données sur le cyberrisque comportent-elles de nombreux biais ?

O. Lopez : Oui, il existe le biais causé par le manque d’information, le biais causé par l’instabilité du risque lui-même parce que la dépendance au numérique est de plus en plus importante et que les sinistres se multiplient, et enfin l’instabilité de nomenclature. Ce sont trois biais essentiels et qui sont vraiment complexes. D’autant plus complexes qu’il faut essayer de prévoir un événement qui ne s’est jamais produit. De plus concernant l’évaluation du risque, il peut y avoir des phénomènes qui sont mathématiquement complexes à modéliser comme les phénomènes d’accumulation (risque de cumul) si beaucoup de sinistres se produisent en même temps. Et donc le compromis à court terme que les actuaires doivent essayer de dégager, c’est de réussir à faire des modèles suffisamment riches pour envisager la complexité du phénomène avec une matière première, la donnée, qui est relativement pauvre et assez entachée d’erreur.

L’actuariel : Le risque d’accumulation est-il appréhendable ?

O. Lopez : Nous pouvons construire des modèles, il existe beaucoup de pistes en termes d’outils mathématiques. Notamment les processus de Hawkes, qui permettent ces accumulations, des modèles avec des copules intégrant des risques extrêmes qui se produisent de façon concomitante. La question est ensuite de savoir comment calibrer ces modèles et les rattacher à la réalité ? Concernant le risque de contagion, des modèles existent également pour la grippe et d’autres maladies infectieuses. Ils ne demandent qu’à être utilisés. Mais la question de la fiabilité des données reste le principal enjeu.

L’actuariel : L’aspect comportemental est important dans le cyberrisque, est-ce intégrable dans les modèles ?

O. Lopez : Avec des collègues, je travaille actuellement sur un projet de recherche qui traite de cette question. Nous le réalisons avec le risk management d’Axa et l’Institut Louis Bachelier. Nous essayons d’intégrer le fait que le comportement des acteurs nous prive d’une certaine information. Cela existe dans d’autres domaines, par exemple les sondages : les personnes ont parfois honte de déclarer un certain comportement de vote ou bien la population considérée n’est pas représentative de la population nationale et les sondeurs appliquent des techniques de redressement pour corriger l’information brute telle qu’ils l’ont recueillie. La question du vote est connue depuis longtemps, il existe déjà des a priori sur le comportement. Avec le cyber nous sommes dans une situation un peu plus complexe, le comportement des acteurs et leur façon de faire remonter l’information sont un phénomène plus récent.