Mémoires d'Actuariat
La gestion du risque cyber dans les captives
Auteur(s) MATERA LAURENT R.
Société MARSH SAS
Année 2022
Résumé
Le développement croissant des technologies de l’information rend l’utilisation d’ordinateurs et d’objets connectés de plus en plus incontournable. Dans ce contexte, les cyber-attaques contre les systèmes informatiques des entreprises ont explosé et se poursuivront dans le futur. Sur le plan assurantiel, ce risque est encore mal connu car les entreprises « attaquées » préfèrent ne pas communiquer afin de préserver leur réputation. De plus, l’imagination débordante des hackers n’a sûrement pas encore dévoilé toutes les possibilités de sinistres envisageables. Il reste difficile pour un assureur de proposer un tarif pour une couverture d’assurance cyber. Par ailleurs, certaines grandes entreprises ont mis en place des sociétés d’assurance captives dans l’objectif d’y céder une partie de leurs risques. Cet outil stratégique leur permet de prendre une part active à leur gestion des risques et d’optimiser le transfert au marché de l’assurance. La souscription de programmes « Cyber » peut rentrer dans ce cadre, en fonction des conditions et des cycles du marché, et de l’appétence aux risques de l’entreprise et de sa captive. Mais toutes les captives ne portent pas le risque Cyber de façon visible. En effet, un sinistre « Cyber » majeur pourrait être pris en charge par un programme « dommage » ou « Responsabilité Civile » si le risque cyber n’est pas explicitement exclus. Si cette partie de risque n’a pas été tarifée de manière explicite, les résultats et la solvabilité de la captive risquent d’en être affectés. Ce mémoire propose des pistes d’optimisation de la gestion du risque « cyber » dans les captives et une mesure des conséquences potentielles d’une exposition au risque "Cyber silencieux". Sont abordées les questions d’exposition, de tarification puis dans une approche prospective, de solvabilité.
Abstract
The increasing development of information technologies makes the use of computer and connected objects more and more unavoidable. In this context, cyber-attacks against corporate IT systems have exploded and this trend will continue in the future. On an insurance point of view, this risk remains poorly known, because companies under attack prefer not to communicate to preserve their reputation. Moreover, the overflowing imagination of hackers has certainly not yet revealed all the possible future disasters. It is still difficult for an insurer to suggest a price for a cyber insurance cover. In addition, some groups have set up captive insurance companies with the aim of ceding part of their risks, commonly known as "own risks", to them. This strategic tool allows them to take an active part in their risk management and optimize the transfer to the insurance market. The underwriting of "Cyber" programs can fit into this framework, depending on market conditions and cycles, and on the risk appetite of the company and its captive. But not all captives carry the Cyber risk in a visible way. Indeed, a major "Cyber" loss could be covered by a "damage" or "Third Party Liability" program if the Cyber risk is not explicitly excluded. If this portion of risk has not been explicitly taken into consideration in the pricing, the captive's results and its solvency may be affected. This study suggests optimizing the management of the "Cyber" risk into the captives and to measure the potential consequences for captives exposed to "silent cover".
Mémoire complet
Auteur(s) MATERA LAURENT R.
Société MARSH SAS
Année 2022
Résumé
Le développement croissant des technologies de l’information rend l’utilisation d’ordinateurs et d’objets connectés de plus en plus incontournable. Dans ce contexte, les cyber-attaques contre les systèmes informatiques des entreprises ont explosé et se poursuivront dans le futur. Sur le plan assurantiel, ce risque est encore mal connu car les entreprises « attaquées » préfèrent ne pas communiquer afin de préserver leur réputation. De plus, l’imagination débordante des hackers n’a sûrement pas encore dévoilé toutes les possibilités de sinistres envisageables. Il reste difficile pour un assureur de proposer un tarif pour une couverture d’assurance cyber. Par ailleurs, certaines grandes entreprises ont mis en place des sociétés d’assurance captives dans l’objectif d’y céder une partie de leurs risques. Cet outil stratégique leur permet de prendre une part active à leur gestion des risques et d’optimiser le transfert au marché de l’assurance. La souscription de programmes « Cyber » peut rentrer dans ce cadre, en fonction des conditions et des cycles du marché, et de l’appétence aux risques de l’entreprise et de sa captive. Mais toutes les captives ne portent pas le risque Cyber de façon visible. En effet, un sinistre « Cyber » majeur pourrait être pris en charge par un programme « dommage » ou « Responsabilité Civile » si le risque cyber n’est pas explicitement exclus. Si cette partie de risque n’a pas été tarifée de manière explicite, les résultats et la solvabilité de la captive risquent d’en être affectés. Ce mémoire propose des pistes d’optimisation de la gestion du risque « cyber » dans les captives et une mesure des conséquences potentielles d’une exposition au risque "Cyber silencieux". Sont abordées les questions d’exposition, de tarification puis dans une approche prospective, de solvabilité.
Abstract
The increasing development of information technologies makes the use of computer and connected objects more and more unavoidable. In this context, cyber-attacks against corporate IT systems have exploded and this trend will continue in the future. On an insurance point of view, this risk remains poorly known, because companies under attack prefer not to communicate to preserve their reputation. Moreover, the overflowing imagination of hackers has certainly not yet revealed all the possible future disasters. It is still difficult for an insurer to suggest a price for a cyber insurance cover. In addition, some groups have set up captive insurance companies with the aim of ceding part of their risks, commonly known as "own risks", to them. This strategic tool allows them to take an active part in their risk management and optimize the transfer to the insurance market. The underwriting of "Cyber" programs can fit into this framework, depending on market conditions and cycles, and on the risk appetite of the company and its captive. But not all captives carry the Cyber risk in a visible way. Indeed, a major "Cyber" loss could be covered by a "damage" or "Third Party Liability" program if the Cyber risk is not explicitly excluded. If this portion of risk has not been explicitly taken into consideration in the pricing, the captive's results and its solvency may be affected. This study suggests optimizing the management of the "Cyber" risk into the captives and to measure the potential consequences for captives exposed to "silent cover".
Mémoire complet
