Mémoire d'actuariat

Modélisation du risque cyber pour un portefeuille d'assurance français
Auteur(s) BEAUD DE BRIVE Gaëtan
Société Aon France
Année 2020
Confidentiel jusqu'au 01/07/2022

Résumé
Le risque cyber désigne toute menace de perte financière, de perturbation de l'activité ou encore d'atteinte à la réputation d'une entreprise ou d'un particulier. Cette étude a pour ambition de fournir des éléments sur la compréhension actuarielle de ce dernier, son marché et sa modélisation. Après une présentation du contexte actuel et des caractéristiques de la menace informatique, est présentée une étude de l'assurabilité du risque cyber, ainsi que ses limites, en nous appuyant sur des critères politiques, sociétaux, économiques et mathématiques. D'autre part, plusieurs approches sont développées dans ce mémoire afin de pouvoir modéliser l'exposition au risque cyber d'un portefeuille d'assurance français. Dans un premier temps, une approche par scénario sur un évènement de Black-out en Ile-de-France est construit, puis appliqué à un portefeuille français. Ensuite un modèle par "fréquence x coût" est paramétré pour le risque cyber de data breach (la violation, perte ou vol de données), l'une des principales menaces cyber. Il est ensuite adapté au marché assurantiel français puis appliqué pour la mesure de l'exposition du portefeuille de garantie. Enfin, un dernier modèle est présenté, où est prise en compte la forte interconnexion des ressources numériques et donc la corrélation des expositions cyber.

Abstract
Cyber risk means any threat of financial loss, business interruption or loss of reputation for a company or an individual. This study aims to provide keys on the actuarial understanding of cyber risk, its market and its modelling. After a presentation of the current context and characteristics of the cyber threat, a study of the insurability of cyber risk and its limits is presented, based on political, societal, economic and mathematical criteria. On the other hand, several approaches are developed in this paper in order to model the cyber risk exposure of a French insurance portfolio. First, a scenario approach on a blackout event in Paris region ("Ile-de-France") is constructed before being applied to a French portfolio. Then a "frequency x severity" model is parameterized for the cyber risk of data breach, one of the main cyber threats. It is then adapted to the French insurance market and applied to measure the exposure of the portfolio. Finally, a last model is presented, which takes into account the strong interconnection of digital ressources and therefore the correlation of cyber exposures.