Le manque de données permettant de quantifier les risques cyber et de modéliser un tarif est un grand défi des assureurs.
Les assureurs savent que cette situation engendre, de facto, des modèles et des tarifs peu crédibles. En conséquence, ils se positionnent en spectateurs ou en petits acteurs sur le marché avec des offres constituées de limites basses et des couvertures assez restreintes. Cela décourage les entreprises de souscrire une police et en conséquence, les assureurs disposent de peu d’expériences sur les expositions. Cela limite la disponibilité des données chez les assureurs et le cercle vicieux est déclenché !
L’approche par barèmes
Abstraction faite de l’approche adoptée pour modéliser le tarif ; la procédure de calcul des primes présente peu de différentiation, entre les assureurs, en termes de structure et de composition. Certaines polices offrent simplement un taux forfaitaire, tandis que d’autres ajustent la prime en fonction de quelques variables.
La procédure basée sur un taux et/ou un montant forfaitaire est la plus simple pour estimer les primes en définissant des barèmes, pour les garanties dommages directs et dommages aux tiers. Cette procédure est appliquée, sans distinction, à tous les assurés selon un critère donné (ex taille ou activité).
Bien que cette approche offre une méthode rapide pour établir les primes, elle ne permet pas de différenciation selon les caractéristiques intrinsèques liées à l’entreprise comme sa politique de prévention, son système informatique ou son secteur d’activité.
L’autre procédure, plus sophistiquée, s’appuie sur l’évaluation d’une prime de base en fonction d’une assiette comme le volume d’affaires ou des actifs détenus par l’entreprise. Cette prime de base est ensuite ajustée en fonction de plusieurs facteurs comme :
- ceux liés à des variables telles que les modifications des limites ou de franchises d’une police. Par exemple, plus les limites sont élevées ou plus la franchise est petite, plus la prime sera importante
- ceux liés à l’historique de sinistralité ou une période de déclaration prolongée et/ou des interruptions d’activité…
- le secteur d’activité
- le niveau de qualité du programme de prévention de l’entreprise.
- …
Nous détaillerons, dans la suite, des approches actuarielles en rappelant leurs forces et leurs faiblesses pour garder un certain recul requis dans ce contexte. Et Il nous semble bon de rappeler que le statisticien a quelques bonnes pratiques à appliquer sur les choix de modèles en fonction des données à sa disposition. En particulier, la complexité du modèle doit être à la hauteur de la qualité et de la quantité des données disponibles. Avec peu de données fiables, les erreurs engendrées par un modèle complexe sont fréquentes et conséquentes. C’est pourquoi il est alors préférable de privilégier un modèle simple et robuste même s’il est, dans l’ensemble, moins précis voire aberrant pour quelques segments de clientèles.
Le dilemme de l’assurance d’un système de risque ‘ouvert’
En 2006, Böhme and Kataria ont proposé un modèle qui montre que l’assurance est particulièrement adaptée aux risques présentant une forte corrélation interne et quasi décorrélés au reste du tissu économique ! La raison en est que l’entreprise a plus de leviers pour déployer des programmes de prévention et d’autoprotection. A l’inverse, dans un système de risque ‘ouvert’ avec une forte corrélation mondiale, les avantages de la diversification de l’assureur sont limités et la prime pour mutualiser le risque est élevée. Il est évident que ce dernier constat est une caractéristique fondamentale, à prendre en compte, pour modéliser des tarifs des polices cyber.
Néanmoins, nous pourrions engendrer de la diversification avec une hétérogénéité accrue des systèmes déployés au niveau de chaque zone géographique/économique. Cependant, cette approche appauvrirait les économies d’échelle dans les processus d’échange et de production. Il faudrait savoir ce qu’on voudrait ! Et serait-il possible de décrocher un accord dessus sans intervention des acteurs publics et une coopération internationale ?
Modélisation de la fréquence et de la sévérité
La modélisation actuarielle de la fréquence et de la sévérité des risques cyber, peut être réalisée en appliquant la théorie des valeurs extrêmes et l’approche des pics au-delà d’un seuil.
Cette modélisation, malgré son intérêt pour le champ théorique, reste confrontée aux limites techniques du marché. Les capacités proposées sont encore très limitées dans la plupart des contrats. Comme les montants, de sinistres observés, sont capés à hauteurs des limites octroyées, les observations des valeurs extrêmes sont difficilement différenciées des autres valeurs.
En outre, les résultats des études actuarielle (Wheatley et al. 2016) montrent que les lois régissant les propriétés du cyber-risque, que ce soit la fréquence ou la sévérité, sont très dynamiques. Il faut se rendre à l’évidence que l’environnement technologique, en rapide évolution, nécessiterait des révisions continues des approches de modélisation dans un environnement contraint par la qualité et la disponibilité des données.
Modélisation des dépendances
Au-delà de la modélisation de la distribution marginale des risques cyber, les actuaires sont confrontés à la modélisation de leurs agrégations et/ou corrélations. Tout d’abord, un événement pourrait affecter plusieurs systèmes au sein d’une même entité. En plus, il pourrait y avoir une corrélation entre différentes entités touchées par une attaque si l’on se place au niveau d’un groupe financier ou industriel ou tout simplement si l’on se positionne au niveau du portefeuille d’un assureur.
Des distributions de queue-lourdes ont été proposées pour modéliser les risques cyber. Mais leur agrégation devrait prendre en compte les dépendances non-linéaires. Les copules constituent un cadre de réflexion adapté mais il faudrait vérifier les hypothèses sous-jacentes au choix de la copule et à son adéquation.
Malgré l’importance de leur utilisation du fait de l’interdépendance du risque entre les acteurs économiques il faut garder en esprit le risque de modèle inhérent au choix des copules. Leurs modélisations requièrent l’ajustement de plusieurs paramètres abstraction faite des hypothèses liées à leur choix. Cela implique des modèles complexes qui nécessite des données en quantité et en qualité pour les valider.
Certes, les assureurs ne vendent pas la cyber-assurance depuis suffisamment longtemps ou à une échelle suffisante pour générer leur propre masse critique de données mais force est de constater qu’il n’existe pas non plus de source complète et centralisée d’informations, en Europe, sur les événements cyber que les assureurs peuvent exploiter.
Les dernières initiatives en France menées par l’ANSSI et Cybermalveillance.gouv vont dans le bon sens et il faudrait davantage les renforcer avec le déploiement du GDPR surtout son volet notification.
