De notre expérience, le volet de tarification sur le processus de souscription d’un contrat cyber-assurance est entouré de quelques mystères. Que savent les assureurs des cyber-risques ? Comment évaluent-ils ces risques ? et comment les primes sont-elles calculées ? Les réponses à ces questions sont rarement abordées ouvertement. Dans cet article, nous partageons avec vous l’essentiel de nos échanges avec des experts.
L’utilisation des données externes et internes
De nombreux assureurs insistent sur le fait que la « ligne d’assurance cyber » est relativement nouvelle avec l’absence de données historiques ou crédibles permettant de tirer des conclusions fiables sur les volumes de pertes potentielles. Et que ces lacunes structurelles engendreraient des incertitudes et des imprécisions des tarifs.
Dans une première phase, de collecte d’information, les assureurs commencent par se documenter sur le marché en recueillant des études et des rapports industriels et gouvernementaux. Ces documents fournissent des analyses sur la base observations sur des incidents historiques (souvent à partir de bases de données américaines). Les assureurs se forgent un premier avis sur le risque global. Les études académiques permettent d’obtenir une certaine modélisation ainsi qu’une vision plus précise sur le sens des données.
Nous constatons que ce procédé est, en soi, un frein pour un décideur pour lancer un produit car :
- Les expériences et les études sont souvent d’un marché extérieur dont les similitudes restent un sujet à quotient
- Les études sont souvent contradictoires et les hypothèses avec les données sous-jacentes sont peu confrontées à la réalité
Les assureurs procèdent, en parallèle, à des comparaisons avec d’autres branches plus anciennes afin d’affiner leurs analyses. L’idée est de transposer un comportement historique d’une branche à l’autre. L’hypothèse sous-jacent ici, serait la reproductibilité potentielle des comportements économiques et la comparaison de l’utilisation que font les entreprises des contrats d’assurances couvrant ‘des risques comparables’.
Ce cheminement demeure, en général, insuffisant pour les décideurs au sein des compagnies d’assurance. Nous sommes dans le cadre d’une industrie avec un cycle économique inversé où le prix de revient est compris/estimé à la fin du cycle (au moment des sinistres). La définition d’un « prix » est un élément crucial pour jouer le rôle d’absorbeur de risques au niveau de l’économie.
La dynamique du marché
Souvent, la construction du tarif d’un assureur est confrontée aux observations du marché local et des marchés internationaux, sous forme de comparatifs (benchmarks) et appuyée par les avis et le positionnement tarifaire des réassureurs quand ces derniers en disposent.
L’homogénéité des prix sur un marché est la résultante de sa maturité où l’offre et la demande engendre un équilibre et où les éléments de différentiation seraient la qualité des services, la solidité financière et l’avis que se font les entreprises de leurs assureurs. Or, dans un marché qui se cherche, il faudrait s’attendre à une hétérogénéité ‘compréhensive’ mais préjudiciable au volume de transformation. Les clients n’arrivent pas à se forger une conviction quand les « mêmes » services seraient présents sur le marché sur une échelle de prix de 1 à 10.
Ceci dit, lorsqu’un assureur intervient sur la branche cyber, il est confronté au tarif des autres acteurs. Si son tarif est trop avantageux il va attirer trop de clients et donc consommer son appétit au risque rapidement. Et si son tarif est trop élevé il disposera de capacités inutiles. Dans tous les cas, il va entrer dans une dynamique d’ajustement au marché et un cycle de business souvent prévisible sur le moyen et le long terme.
Les tarifs fixés par les assureurs sur un marché, constituent des informations sur ses tendances et sur les objectifs markéting et financiers de ses acteurs. Ceux, avec un ratio combiné élevé, vont augmenter leurs tarifs pour limiter les pertes et inversement ceux avec un ratio modéré ont généralement tendance à faire baisser leurs tarifs.
Les grands acteurs installés, avec une taille importante ou une présence historique importante, seront plus observés et ils tirent de facto les autres vers un point équilibre sur une période relativement longue.
Les réassureurs participent à la confection de cet équilibre en jouant le vecteur d’échange d’information avec les mécanismes d’acceptation et de rétrocession.
La combinaison des approches ‘quantitative’ et qualitative avec les experts de la cyber sécurité
Pour compléter ce tableau, le décollage est synonyme d’acquisition d’une expertise sur la branche. Les experts jouent leur rôle de rationalisation des tarifs. Ils commencent, souvent, avec l’utilisation des techniques de « scoring » et/ou de scénarios pour palier la mauvaise qualité des données. Ils analysent les risques cyber selon un angle technique plutôt que statistique.
Ainsi pour des failles de sécurité informatique rares avec un impact fort, il peut être préférable de s’appuyer sur le jugement d’un expert pour définir les scénarios les plus défavorables et leurs poids. Nous pourrions citer quelques familles de scenarii comme l’exfiltration de données, une attaque par déni de service, la compromission de transactions financières, la défaillance d’un fournisseur de cloud …
L’approche par scénario, permet d’obtenir un avis plus précis et local sur le portefeuille existant avec une vision, certes partielle mais explicable, du risque souscrit. Néanmoins, elle demeure incomplète de par sa granularité locale et de par la subjectivité, quasi inévitable, lors du choix des scénarios.
Malgré les nombreuses limitations de ces approches, cela permet aux assureurs de faire les premières études et d’acquérir de l’expertise au fil de l’eau
Dans les approches de modélisations susmentionnées, la crédibilité des tarifs demeure faible. Le procédé de construction ou les hypothèses sous-jacentes sont perfectibles et subjectifs.
L’équilibre global du marché comporte un biais structurel avec les acteurs historiques qui tirent le marché, à moyen terme, vers leurs conditions et les entrants, peu équipés, peuvent perturber le jeu en faussant les informations habituellement véhiculées par un tarif. Le client se trouve ainsi troublé par des offres tarifaires hétérogènes et pourrait retarder sa décision de souscrire.
Nous verrons par la suite comment produire les premières modélisations avec les premières données collectées. Cela permet de compenser, en partie, les limites des approches présentées dans cet article.
