Mémoire d'actuariat

Modélisation du risque Cyber de perte de Données à Caractère Personnel, modèle de tarification, inclusion dans le BGS et proposition de scénarios de stress pour l’ORSA
Auteur(s) BASTARD T.
Société Addactis France
Année 2021
Confidentiel jusqu'au 08/01/2023

Résumé
Une Cyber-attaque est une atteinte à des systèmes informatiques réalisée dans un but malveillant et ciblant différents dispositifs informatiques, comme par exemple des ordinateurs, des imprimantes ou encore des objets connectés : drones, serrures, pacemakers... L’objet de ce mémoire est l’étude du risque Cyber de perte de Données à Caractère Personnel (DCP) devenu plus important depuis la mise en application dans l’Union Européenne du Règlement Général sur la Protection des Données entré en vigueur le 25 mai 2018, la définition de bonnes pratiques l’atténuation du risque et l’étude de la possibilité de transfert de risque auprès de l’entreprise à un assureur. Des rappels et des exemples concrets d’attaques sont présentés pour permettre au lecteur de s’approprier les enjeux de ce risque émergent, puis deux bases de données publiques recensant essentiellement des incidents ayant eu lieu aux Etats-Unis sont étudiées en détails. Deux sous-modèles stochastiques séquentiels construits et calibrés avec ces deux bases et prenant en compte les caractéristiques propres à une entreprise sont proposés. Tant les choix de modélisation que les résultats obtenus sont mis en perspective avec plusieurs études externes. Quatre applications sont proposées : une modélisation brute pouvant être utilisée pour le Pilier 1 de Solvabilité 2, un modèle de tarification de couvertures non-proportionnelles, l’évaluation du BGS (Besoin Global de Solvabilité) de l’ORSA avec une proposition d’ajustement de la Formule Standard pour prendre en compte le risque Cyber et enfin la construction de scénarios dans une approche ERM pour le maintien des exigences réglementaires de l’ORSA. Mots-clés : Cyber, DCP, RGPD, ORSA, Jacobs, ERM, BGS, Scénario, Solvabilité 2, PRC, VERIS, loi tronquée, Weibull, Ponemon, CESIN, Tarification, Couverture, Traité, Réassurance, Nonproportionnel, SCR, Opérationnel, Formule Standard.

Abstract
A Cyber attack is an assault using one or more computers against a single or multiple computers, networks or devices. A Cyber attack can maliciously disable computers, steal data or use a breached computer as a launch point for other attacks. The emergence of the Internet of Things (IoT) devices raises serious concerns in the areas of privacy and security. Global industry and governmental moves to address these concerns have begun, starting in the USA then rapidly followed by other developed regions in the world. This actuarial thesis investigates a major Cyber risk : data confidentiality breach incidents through the loss of personal records. This risk has become more serious since the application of the General Data Protection Regulation (GDPR) since May 28th 2018. This thesis also tackles the issue of Cyber risk mitigation and Cyber risk transfer through insurance solutions. First, several historical Cyber incidents are presented to support the understanding of the reader of both Cyber risk and its related issues. Two open databases that describe historical Cyber incidents which mostly occured in the USA are then studied. Two stochastic sequential sub-models are built and calibrated based on the data to provide a global modeling which depends on the core characteristics of the company at stake. Special attention is paid to the coherence of the modeling and the results through the study and comparison with several external studies. Four insurance applications are eventually presented : a raw modeling which suits the Solvency 2, Pillar 1 requirements, a non-proportionnal cover pricing model, the evaluation of the Overall Solvency Need (OSN) of the ORSA through a Standard Formula adjustement to include Cyber risk. The last application is the proposal of several Cyber stress scenarios to include in the ORSA. Key words: Cyber, Privacy breach, Personal records, GDPR, ORSA, Jacobs, ERM, OSN, Scenario, Solvency 2, PRC, VERIS, Truncated distribution, Weibull, Ponemon, CESIN, Pricing, Cover, Treaty, Reinsurance, Non-proportional, SCR, Operational, Standard Formula.