Mémoire d'actuariat

Construction d'un modèle de tarification pour les cyber-risques et application pour une captive de réassurance non-vie
Auteur(s) COHEN-SOLAL Lennie
Société Aon Global Risk Consulting
Année 2017

Résumé
L'émergence actuelle des cyber-risques couplée à l'explosion du nombre d'objets connectés entre eux via le réseau Internet placent les entreprises du monde entier dans une position délicate. De plus en plus de compagnies se tournent vers le marché de l'assurance pour se prémunir des potentielles pertes matérielles et/ou financières qui émanent de ces risques. Les actuaires qui travaillent sur la tarification de telles polices d'assurances font face à un problème majeur : l'absence de données liées à la sinistralité engendrée par les cyber-risques. C'est ce dernier point qui motive les travaux réalisés dans ce mémoire. Dans un souci de trouver une solution moins dépendante de l'utilisation d'une base de données de sinistres, nous avons construit un modèle utilisant à la fois la théorie des graphes aléatoires et les modèles de propagation de virus. L'intérêt de cette méthode est qu'elle offre, pour chaque nouvel exercice de tarification, la possibilité de complètement s'adapter à la structure du réseau informatique de la compagnies étudiée. De plus, elle permet de repérer les zones les plus à même de se faire infecter et ainsi d'adopter une gestion proactive en terme de stratégie d'atténuation des risques. Cependant, nous devons rester prudent avec les résultats obtenus. En effet, il n'existe pas de modèle similaire sur lequel nous pouvons nous appuyer pour effectuer une comparaison de résultats. De plus, nous ne possédons pas de base de données de sinistres liés aux cyber-attaques. Ainsi, dans la dernière partie de ce mémoire, les données obtenues en sortie de modèle sont minutieusement analysées afin de détecter d'éventuelles incohérences.

Abstract
The current emergence of cyber-risks combined with the growing numbers of connected devices via the Internet network places companies around the world in a difficult position. More and more cmpanies are turning to the insurance market to cover themselves against the potential material and/or financial losses that emanate from these risks. Actuaries working on the pricing of these insurance policies are faced with a major problem : the lack of data related to the claims caused by cyber risks. It is this last point that motivates the work done in this dissertation. In order to find a solution less dependent on the use of a database of claims, we created a model using both random graph theory and virus spreading models. The advantage of this method is that it offers, for each new pricing exercise, the possiblity of adapting itself to the structure of the computer network of the company studied. In addition, it identifies the areas most likely to be infected and thus adopts proactive management in terms of risk mitigation strategy. However, we must remain cautious with the results achieved. Indeed, there is no similar model that can be used to compare results. In addition, we do not have a database of claims related to cyber-attacks. Thus, in the last part of this dissertation, the data obtained at the model output are carefully analyzed in order to detect possible inconsistencies.

Mémoire complet