Mémoire d'actuariat

Estimation et suivi du risque cyber
Auteur(s) PIEREN Manon
Société AXA Global P&C
Année 2017
Confidentiel jusqu'au 21/09/2019

Résumé
L'explosion des volumes de données crées, traitées et stockées par les entreprises ainsi que le recours quasi-systématique à internet et aux réseaux d'information entraînent une dépendance croissante des entreprises par rapport à ces derniers. Ainsi émerge une nouvelle classe de risques assurantiels, qualifiés de risque cyber. Le marché semble immense, cependant l'offre peine à se développer. Ceci résulte principalement de deux facteurs : la sensation qu'ont les professionnels de ne pas être exposés et l'absence de données historiques qui rend difficile l'appréhension et la définition du périmètre de ce risque. Ce mémoire s'attache dans un premier temps à décrire les risques auxquels les entreprises sont confrontées et les garanties que les assureurs peuvent y associer dans l'objectif de clarifier ce que peut être la création d'un contrat d'assurance cyber. Nous détaillons l'évaluation actuelle du risque, mettant en évidence l'absence de méthodes actuarielles à cet effet et la prédominance de l'utilisation de questionnaires comme méthode de tarification. Ce constat donne à ce mémoire son deuxième objectif : étudier ce risque et adopter une démarche actuarielle pour le modéliser. C'est pourquoi dans un second temps, le développement de l'étude s'intéresse à une approche de la modélisation du risque cyber en s'appuyant sur la définition d'un score de risque par assuré. Cette nouvelle approche permet le développement de plusieurs modèles de fréquence. En complément, des modèles de sévérité sont aussi détaillés afin d'aboutir à une tarification. La disponibilité des données est un problème central qui limite le type de modèles qu'il est réellement possible d'appliquer à notre portefeuille. Nous ne disposons pas de suffisamment d'historique pour calibrer des modèles pouvant s'appuyer par exemple sur la notion d'intensité d'attaque. Ainsi, en se basant principalement sur les notes de qualité cyber des entreprises, les modèles proposant une approche micro du risque sont calibrés sur les données disponibles à l'heure actuelle. Plusieurs applications sont proposées telles que l'application des modèles à un échantillon choisi d'entreprises ou la simulation d'un marché concurrentiel de plusieurs assureurs. Les modèles développés peuvent être mis en place pour la tarification de produits cyber. Leur calibration pourra être améliorée lorsque plus de données seront disponibles à cet effet.

Abstract
The explosion in the amount of data created, processed and stored by enterprises, as well as the nearly systematic use of the Internet and information networks, lead to a dependency toward them. Thys emerges a new class of insurance risks referred to as cyber risks. In spite or the apparent immensity of the market, the offer is struggling to develop. This is mainly due to two factors: the sensation that professionals have not to be exposed and the lack of historical data which makes it difficult to apprehend and define the perimeter of this risk. This paper first describes the risks faced by companies and the guarantees that insurers can associate, it aims at clarifying what a cyber insurance contract might be. The actual risk assessment is described, highlighting the lack of actuarial methods in that way and the predominance underwriting questionnaires as a tool for pricing. This finding gives us the second goal of this paper : studying this risk and adopting an actuarial approach to model it. That's why, in a second phase, the study's development focuses on cyber risk modeling based on the definition of an individual score of the companies toward their vulnerability to cyber-attacks. This new approach comes up with the development of several frequency models. In addition, severity models are also detailed in order to result in a pricing. Data availability is a burning issue that limits the type of model that can be applied to our portfolio. As an example, there is not enough historical data to calibrate an attack intensity based model. Thus, the models proposing a micro approach of the risk are calibrated on the available data, mainly composed of the cyber ratings. Some applications are proposed such as the application of the models to a selected sample of companies or the simulation of a competitive market including several insurers. The developed models can be set up for the pricing of cyber products. Their calibration will be improved when more data become available.