Mémoires d'Actuariat

Construction d'un produit d'assurance cyber pour les PME/TPE : Zoom sur la garantie atteinte aux données
Auteur(s) ADEDJOUMA Y.
Société Moonshot Insurance
Année 2023
Confidentiel jusqu'au 10/01/2025

Résumé
Les nouvelles technologies ont réformé les processus de production, de commercialisation, de communication et de traitement des données au sein des entreprises. En raison de cette digitalisation progressive de l’économie accentuée par la crise sanitaire actuelle, les entreprises sont de plus en plus exposées aux attaques informatiques. Ainsi, s’observe une intensification des risques numériques tels que le risque cyber. Face à l’expansion de ce risque, les assureurs proposent des contrats d’assurance afin de permettre aux entreprises d’y faire face plus efficacement. Cependant, cette tâche peut parfois s’avérer complexe du fait de l’existence d’un nombre limité de données sur le sujet. Cela est principalement dû à la complexité et au caractère évolutif du cyber-risque. Le principal objectif de ce mémoire est de présenter la construction d’un produit d’assurance cyber à destination des PME/TPE. Pour y parvenir, une présentation détaillée du risque ainsi que du marché de la cyber assurance a été faite afin de recenser les caractéristiques et les spécificités de la menace étudiée. Le présent mémoire comporte également, une description du processus de création d’un produit d’assurance ainsi qu’une fiche produit de l’offre construite. La modélisation du risque d’atteinte aux données a été basée sur l’utilisation de la base Privacy Clearing House (PRC), qui a permis d’estimer la sévérité des incidents cyber grâce à l’utilisation de lois théoriques et de construire des modèles linéaires généralisés pour approcher la fréquence des attaques. Par ailleurs, dans le souci d’explorer d’autres aspects de la modélisation du risque de cyber attaque, une estimation de la probabilité de perte d’exploitation d’une entreprise suite à un incident cyber a également été faite à l’aide de méthodes bayésiennes appliquées aux données de la base VERIS (Vocabulary for Event Recording and Sharing). Mots clés : Digitalisation, Privacy Clearing House, Tarification, Cyber-attaques, Assurabilité, Modèle linéaire généralisé, Données personnelles, Risque cyber, Prévention, Création de produit, Loi de poisson zéro-tronquée, Loi binomiale négative zéro-tronquée, Perte d’exploitation, Inférence bayésienne, Veris, Elicitation de l’avis d’expert, loi a priori, loi a posteriori.

Abstract
New technologies have changed the production, marketing, communication and data processing in companies. As a result of this progressive digitalisation of the economy, accentuated by the current health crisis, companies are increasingly exposed to computer attacks. This situation lead to an increase of digital threats such as cyber risk. In response to the expansion of this risk, insurers are offering insurance policies to enable companies to deal with it more effectively. However, this can sometimes be a complex task due to the lack of available data on the subject. This is mainly caused by the complexity and evolving nature of cyber risk. The main objective of this paper is to present the construction of a cyber insurance product for SMEs. To achieve this, a detailed presentation of the risk and the cyber insurance market has been made in order to identify the characteristics and the specificities of the studied threat. This report also includes a description of the process of developing an insurance product and a product card for the offer constructed. The risk modelling of data breach was based on the use of the Privacy Clearing House database, which made it possible to estimate the severity of cyber incidents through the use of theoretical laws and to construct generalized linear models to approximate the frequency of attacks. In addition, in order to explore other aspects of the risk modelling of a cyber attack, an estimation of the probability of a business interruption following a cyber incident was also carried out by using Bayesian methods applied to data from the VERIS (Vocabulary for Event Recording and Sharing) database. Key words : Digitalisation, Privacy Clearing House, Pricing, Cyber-attacks, Insurability, Generalized linear model, Personal data, Cyber risk, Prevention, Insurance offer, Zero-Truncated Poisson distribution, Zero-Truncated Negative Binomial distribution, Business interruption, Bayesian Inference, Veris, Elicitation of expert opinion, Prior probabillity, Posterior probabillity