Mémoire d'actuariat

Modélisation assurantielle du risque cyber
Auteur(s) MARTINEZ Anaïs
Année 2019
Confidentiel jusqu'au 03/07/2020

Résumé
Le risque cyber connaît une expansion fulgurante en raison de la digitalisation de l'économie. Les exemples de cette transformation sont nombreux dans notre vie quotidienne : le développement des automobiles connectées, l'accès à notre compte bancaire depuis notre téléphone portable, l'externalisation des systèmes d'information des entreprises, le stockage de leurs données sur le cloud, etc. Si la révolution numérique en train de se produire est synonyme de progrès, elle s'accompagne aussi de nouveaux défis. Le risque de défaillance informatique s'intensifie ainsi que celui de divulgation involontaire de données ; de plus, les piratages informatiques se multiplient. Il devient de plus en plus pressant de quantifier le risque cyber. La tâche s'avère complexe en raison de la faible quantité et de l'hétérogénéité des données disponibles. L'objectif de ce mémoire est de construire des modèles de prédiction afin de quantifier le risque cyber d'une organisation et de pouvoir tarifer diverses garanties d'assurance. Ainsi, deux modèles prédictifs ont été créés à partir de deux jeux de données distincts. La première partie a consisté à définir les concepts clés relatifs au risque cyber et à présenter les différentes garanties d'assurance répondant à ce risque. La deuxième partie a ensuite permis de fiabiliser et d'enrichir les jeux de données dans la perspective de créer des modèles robustes. Puis, les différentes méthodologies employées pour construire le premier modèle prédictif ont été détaillées au sein de la troisième partie. Ce modèle vise à estimer le nombre d'enregistrement compromis par une fuite de données personnelles en fonction des caractéristiques d'une organisation. Il permet de tarifer les garanties cyber les plus répandues actuellement sur le marché. Quant au second modèle, présenté en quatrième partie, il permet de prédire le coût d'un incident cyber de nature opérationnelle selon les caractéristiques d'une entreprise. Contrairement au premier modèle, il permet de tarifer des couvertures cyber rarement proposées aujourd'hui. Enfin une analyse des limites des deux modèles construits a été effectuée et des pistes d'amélioration ont été proposées dans la dernière partie.

Abstract
Cyber risk is expanding rapidly due to the digitisation of the economy. There are many examples of this transformation in our daily lives: connected cars are being developed, bank accounts can be accessed from mobile phones, companies are outsourcing their information systems and storing their data on the cloud, etc. Although the digital revolutin is synonymous with progress, it implies new challenges. The risk of information technology failures gets higher as well as the risk of data disclosure. Moreover hacking incidents are growing. It becomes increasingly urgent to quatify cyber risk. It is a complex task as limited data are available and they are heterogeneous. The objective of this paper is to build predictive models in order to quantify the cyber risk of an organization and to be able to price diverse insurance warranties. Thus, two predictive models were created from two distinct datasets. The first part consisted to defining the key concepts related to cyber risk and presenting the different insurance warranties responding to this risk. The second part allowed us to improve the reliability of the datasets and to supplement them in order to create robust models. Then, the different methodologies used to build the first predictive model were detailed within the third part. This model aims at estimating the number of breached records resulting from a personal data breach according to the characteristics of an organisation. It enables us to price the most frequently offered cyber warranties on the market. Regarding the second model, which is presented in the fourth part, it enables us to predict the cost of a cyber operational event according to the characteristics of a company. Finally, an analysis of the limits of the two built models was performed and some enhancements were suggested in the final part.