{"id":4619,"date":"2019-12-20T07:40:08","date_gmt":"2019-12-20T05:40:08","guid":{"rendered":"http:\/\/variances.eu\/?p=4619"},"modified":"2019-12-20T08:55:28","modified_gmt":"2019-12-20T06:55:28","slug":"initiative-de-recherche-joint-research-initiative-cyber-insurance-actuarial-modeling-entre-axa-grm-ensae-paris-sorbonne-universite","status":"publish","type":"post","link":"https:\/\/variances.eu\/?p=4619","title":{"rendered":"Initiative de Recherche\/Joint Research Initiative \u00ab Cyber-Insurance: actuarial modeling \u00bb entre Axa GRM &#8211; Ensae Paris &#8211; Sorbonne Universit\u00e9."},"content":{"rendered":"<p>L\u2019Initiative de Recherche \u00ab\u00a0Cyber-Insurance: actuarial modeling\u00a0\u00bb vise \u00e0 d\u00e9finir les m\u00e9thodologies adapt\u00e9es \u00e0 la quantification du risque <em>cyber<\/em>. La nature r\u00e9cente et \u00e9volutive du risque, la potentialit\u00e9 de ph\u00e9nom\u00e8nes d\u2019accumulation, rendent n\u00e9cessaire une approche actuarielle fine. Le projet vise \u00e0 fournir des m\u00e9thodologies utilisables notamment pour :<\/p>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>la tarification de produits de cyber assurance<\/li>\n<li>le provisionnement<\/li>\n<li>la mesure de la qualit\u00e9 des donn\u00e9es li\u00e9es au cyber-risque<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Le projet, financ\u00e9 par le Fonds AXA pour la Recherche r\u00e9unit au sein de la Fondation du Risque (Institut Louis Bachelier) deux partenaires acad\u00e9miques, Ensae Paris et Sorbonne Universit\u00e9.<\/p>\n<h3><strong>Introduction<\/strong><\/h3>\n<p>Avec la croissance de l\u2019\u00e9conomie digitale, le risque cyber est devenu l\u2019une des menaces principales pesant sur les entreprises (cf notamment le rapport 2019 du minist\u00e8re de l\u2019Int\u00e9rieur [RM19]). Face \u00e0 ce nouveau risque, les compagnies d\u2019assurances sont cens\u00e9es jouer un r\u00f4le crucial de protection financi\u00e8re, puisque la cyber-s\u00e9curit\u00e9 physique, m\u00eame si elle permet de limiter le risque, ne permettra pas de le r\u00e9duire \u00e0 z\u00e9ro. Cependant, l\u2019\u00e9valuation de ce risque nouveau et sa tarification n\u00e9cessitent des techniques statistiques et probabilistes avanc\u00e9es pour quantifier le risque, l\u2019\u00e9volution de celui-ci et ses impacts financiers, afin de surmonter les d\u00e9fis inh\u00e9rents aux cyber-assurances.<\/p>\n<h3><strong>H\u00e9t\u00e9rog\u00e9nit\u00e9 et biais des bases de donn\u00e9es<\/strong><\/h3>\n<p>Compar\u00e9 \u00e0 d\u2019autres risques actuariels, la difficult\u00e9 pour \u00e9valuer le risque cyber r\u00e9side principalement dans le fait que les donn\u00e9es historiques, utilis\u00e9es pour analyser statistiquement le risque, sont pour l\u2019instant peu nombreuses, tr\u00e8s h\u00e9t\u00e9rog\u00e8nes en terme de qualit\u00e9, et particuli\u00e8rement d\u00e9licates \u00e0 collecter. En effet, tout laisse \u00e0 penser qu\u2019une part importante d\u2019information est cach\u00e9e, notamment parce que les victimes peuvent \u00eatre r\u00e9ticentes \u00e0 communiquer qu\u2019elles ont subi une attaque cyber, inqui\u00e8tes par l\u2019impact que cette divulgation pourrait avoir sur leur r\u00e9putation (atteinte \u00e0 l\u2019image, fuite des clients). Ce ph\u00e9nom\u00e8ne d\u2019information cach\u00e9e a des analogies fortes avec celui de <em>hunger for bonuses<\/em> bien connu dans le secteur de l\u2019assurance automobile (o\u00f9 l\u2019assur\u00e9 peut avoir tendance \u00e0 ne pas d\u00e9clarer de petits sinistres pour \u00e9viter un malus sur son contrat d\u2019assurance). Ici la crainte du malus est remplac\u00e9e par celle de la r\u00e9putation. Il est donc essentiel de bien prendre en compte ce ph\u00e9nom\u00e8ne de troncature dans l\u2019analyse des donn\u00e9es.<\/p>\n<p>Nos \u00e9tudes ont port\u00e9 sur la base Privacy Rights Clearinghouse <a href=\"#_ftn1\" name=\"_ftnref1\">[1]<\/a> (PRC), d\u00e9velopp\u00e9e par une association de sensibilisation aux risques li\u00e9s \u00e0 la vie priv\u00e9e bas\u00e9e aux Etats-Unis, qui recense plus de 8000 \u00e9v\u00e9nements (br\u00e8ches de donn\u00e9es) en y associant une fr\u00e9quence (date de d\u00e9claration des br\u00e8ches) et une s\u00e9v\u00e9rit\u00e9 (nombre de lignes hack\u00e9es). Cette base publique est consid\u00e9r\u00e9e comme une r\u00e9f\u00e9rence pour l\u2019analyse des cyber-\u00e9v\u00e9nements<a href=\"#_ftn2\" name=\"_ftnref2\">[2]<\/a> mais comme beaucoup d\u2019autres, elle comporte d\u2019importants biais li\u00e9s \u00e0 sa constitution m\u00eame, et elle ne donne pas d\u2019information sur l\u2019\u00e9volution de l\u2019exposition au risque au cours du temps. D\u2019autre part, les assureurs disposent d\u2019une exp\u00e9rience trop faible en interne pour obtenir une vision fiable du risque (pr\u00e9cision statistique faible) mais ont une bien meilleure vision sur leur exposition. L\u2019enjeu m\u00e9thodologique est alors de trouver le point d\u2019\u00e9quilibre entre l\u2019analyse provenant du portefeuille (non biais\u00e9e mais peu fiable statistiquement) et l\u2019analyse produite \u00e0 partir d\u2019une population de r\u00e9f\u00e9rence plus large (qui introduit un biais par rapport au portefeuille d\u2019assur\u00e9s, que l\u2019on appelle commun\u00e9ment risque de base).<\/p>\n<h3><strong>Une vision partielle du risque<\/strong><\/h3>\n<p>L\u2019asym\u00e9trie d\u2019information entre assureur et assur\u00e9 tient au fait que l\u2019assur\u00e9 dispose en g\u00e9n\u00e9ral d\u2019informations sur son risque qui ne sont pas n\u00e9cessairement remont\u00e9es \u00e0 l\u2019assureur. Ce ph\u00e9nom\u00e8ne d\u2019antis\u00e9lection est particuli\u00e8rement exacerb\u00e9 dans le cas du cyber-risque. L\u2019antis\u00e9lection tient notamment au fait qu\u2019un assur\u00e9 est souvent plus expos\u00e9 au risque concern\u00e9 qu\u2019un individu (ou qu\u2019une entit\u00e9 dans le cas d\u2019une entreprise) pris au hasard dans la population. La souscription d\u2019un contrat d\u2019assurance r\u00e9pond, chez l\u2019assur\u00e9, \u00e0 une prise de conscience du risque, souvent li\u00e9e \u00e0 une fragilit\u00e9 ressentie. L\u2019al\u00e9a moral, quant \u00e0 lui, tient \u00e0 n\u00e9gliger sa propre protection face au risque pour la faire supporter par l\u2019assureur via sa garantie. Les questionnaires ont certes pour but de d\u00e9busquer les fragilit\u00e9s afin de mettre l\u2019assureur au m\u00eame niveau d\u2019information et de ne pas d\u00e9s\u00e9quilibrer la relation \u00e9conomique entre les deux parties. N\u00e9anmoins il peut \u00eatre relativement facile pour une entreprise de cacher \u00e0 l\u2019assureur certaines faiblesses de son r\u00e9seau, en raison de sa complexit\u00e9 et de son opacit\u00e9. Et inversement, certaines (petites) entreprises peuvent avoir \u00e9galement des difficult\u00e9s \u00e0 \u00e9valuer leur propre \u00e9tat de protection. Par ailleurs, le comportement des assur\u00e9s vis-\u00e0-vis de la d\u00e9claration des sinistres cyber \u00e9volue, \u00e0 la suite notamment des changements de r\u00e9glementation (par exemple obligation de reporter les incidents au-dessus d\u2019un certain seuil de s\u00e9v\u00e9rit\u00e9) ainsi que de la banalisation des incidents.<\/p>\n<h3><strong>Non-stationnarit\u00e9 du risque<\/strong><\/h3>\n<p>La rapide \u00e9volution du risque cyber n\u00e9cessite de mettre en oeuvre une mod\u00e9lisation dynamique du risque. Cette \u00e9volution est bien s\u00fbr tout d\u2019abord technologique (croissance des r\u00e9seaux, \u00e9volution technologique telle que l\u2019essor des objets connect\u00e9s&#8230;) mais elle est aussi due aux changements de comportements des hackers et des usagers qui modifient sans cesse leurs pratiques, tandis que leur perception m\u00eame du risque \u00e9volue. Ces instabilit\u00e9s dans la nature comme dans la perception du risque rendent difficiles le calibrage des mod\u00e8les ainsi que la projection du risque dans le futur et il est donc crucial de tenir compte de l\u2019\u00e9volution dans la conception des mod\u00e8les pr\u00e9dictifs.<\/p>\n<h3><strong>Etude de la s\u00e9v\u00e9rit\u00e9<\/strong><\/h3>\n<p>Le co\u00fbt de la garantie ne se r\u00e9sume pas \u00e0 la simple d\u00e9termination du prix, mais \u00e0 l\u2019\u00e9valuation des provisions \u00e0 constituer afin d\u2019\u00eatre en mesure de faire face \u00e0 des \u00e9v\u00e9nements qui peuvent d\u00e9vier fortement de ce sc\u00e9nario central. Cela passe tout d\u2019abord par une analyse de la s\u00e9v\u00e9rit\u00e9, par exemple en s\u2019appuyant sur l\u2019inf\u00e9rence d\u2019arbres de r\u00e9gression et de classification (CART)<a href=\"#_ftn3\" name=\"_ftnref3\">[3]<\/a>. L\u2019objectif est d\u2019analyser les impacts des caract\u00e9ristiques sur la s\u00e9v\u00e9rit\u00e9 des cyber-\u00e9v\u00e9nements. Nous nous concentrons particuli\u00e8rement sur les \u00e9v\u00e9nements \u00c2\u00abextr\u00eames\u00c2\u00bb, c\u2019est-\u00e0-dire les \u00e9v\u00e9nements pour lesquels la s\u00e9v\u00e9rit\u00e9 est sup\u00e9rieure \u00e0 un seuil fixe. En effet, l\u2019analyse de la base de donn\u00e9es PRC soul\u00e8ve la difficult\u00e9 d\u2019estimer une moyenne conditionnelle en raison de la forte volatilit\u00e9 de la variable s\u00e9v\u00e9rit\u00e9. Par cons\u00e9quent, dans [FLT19], un arbre de r\u00e9gression m\u00e9dian permet de d\u00e9terminer des groupes homog\u00e8nes et d\u2019estimer une s\u00e9v\u00e9rit\u00e9 moyenne au sein de ces clusters. Pour la queue de distribution et les \u00e9v\u00e9nements extr\u00eames, l\u2019\u00e9tude via les arbres GPD met en \u00e9vidence une s\u00e9v\u00e9rit\u00e9 h\u00e9t\u00e9rog\u00e8ne.<\/p>\n<h3><strong>Etude de la fr\u00e9quence et accumulation<\/strong><\/h3>\n<p>Parmi les nombreuses caract\u00e9ristiques des cyber-\u00e9v\u00e9nements, celles li\u00e9es \u00e0 la m\u00e9moire des \u00e9v\u00e9nements et aux comportements d\u2019auto-excitation sont d\u2019une importance majeure, car elles sous-tendent le regroupement et l\u2019auto-corr\u00e9lation des p\u00e9riodes de cyber-\u00e9v\u00e9nements. Les processus de Hawkes multivari\u00e9s sont particuli\u00e8rement pertinents pour mod\u00e9liser et pr\u00e9dire la fr\u00e9quence des cyber-\u00e9v\u00e9nements; ils sont mis en oeuvre dans [BrBH19] o\u00f9 nous d\u00e9veloppons une proc\u00e9dure d\u2019inf\u00e9rence p\u00e9nalis\u00e9e pour capturer les interactions pertinentes entre les diff\u00e9rentes classes d\u2019\u00e9v\u00e9nements.<\/p>\n<p>Le caract\u00e8re syst\u00e9mique du risque cyber repose \u00e9galement sur la possibilit\u00e9 d\u2019une d\u00e9faillance simultan\u00e9e d\u2019une proportion massive d\u2019assur\u00e9s. Un rapport de Cyence et Lloyd\u2019s of London [L17] a ainsi estim\u00e9 que, si un sinistre survenait chez un prestataire de cloud, le co\u00fbt de l\u2019attaque se situerait dans une fourchette de 15 \u00e0 121 milliards d\u2019USD, avec une perte moyenne estim\u00e9e \u00e0 53 milliards. Dans un tel sc\u00e9nario de cyber attaque massive, le principe de mutualisation, qui est \u00e0 la base de l\u2019assurance, n\u2019est plus v\u00e9rifi\u00e9. Cette mod\u00e9lisation du risque d\u2019accumulation est donc un v\u00e9ritable enjeu pour l\u2019assurabilit\u00e9 du cyber-risque. Ainsi nous proposons dans [HJ19] d\u2019adapter et de d\u00e9velopper des mod\u00e8les stochastiques \u00e9pid\u00e9miologiques de contagion au contexte du cyber risque. Pour un type d\u2019attaque donn\u00e9, nous proposons un cadre g\u00e9n\u00e9ral pour quantifier l\u2019impact sur le portefeuille d\u2019un tel \u00e9v\u00e9nement, et calibrer la r\u00e9ponse de l\u2019assureur (en terme de pr\u00e9vention et temps de r\u00e9action \u00e0 l\u2019attaque). La possibilit\u00e9 d\u2019un \u00ab\u00a0effondrement\u00a0\u00bb du syst\u00e8me de r\u00e9ponse est \u00e9galement consid\u00e9r\u00e9e. Un tel effondrement pourrait se produire si trop d\u2019assur\u00e9s sont touch\u00e9s simultan\u00e9ment. Dans ce cas, la compagnie d\u2019assurances ne serait plus en mesure de porter assistance \u00e0 ses assur\u00e9s. Nous fournissons des bornes pr\u00e9cises pour la probabilit\u00e9 de survenance d\u2019un tel \u00e9v\u00e9nement.<\/p>\n<p><strong>En conclusion<\/strong>, l\u2019\u00e9valuation actuarielle du risque cyber n\u00e9cessite une mod\u00e9lisation fine et robuste du risque, ainsi que la constitution de bases de donn\u00e9es fiables sur lesquelles calibrer ces mod\u00e8les. La construction de mod\u00e8les adapt\u00e9s est un enjeu scientifique et soci\u00e9tal important.<\/p>\n<p style=\"text-align: center;\">Pour suivre l\u2019activit\u00e9 du projet de recherche, nous vous invitons \u00e0 consulter la page web<\/p>\n<p style=\"text-align: center;\"><span style=\"text-decoration: underline; color: #0000ff;\"><a style=\"color: #0000ff; text-decoration: underline;\" href=\"https:\/\/sites.google.com\/view\/cyber-actuarial\">https:\/\/sites.google.com\/view\/cyber-actuarial<\/a><\/span><\/p>\n<p>ou bien \u00e0 contacter les porteurs du projet:\u00a0Caroline Hillairet (caroline.hillairet@ensae.fr) Olivier Lopez (olivier.lopez@upmc.fr)<\/p>\n<p>&nbsp;<\/p>\n<p><em>Mots-cl\u00e9s: Actuariat &#8211; risque cyber &#8211; arbre de classification et de r\u00e9gression &#8211; processus de Kawkes &#8211; mod\u00e8le de contagion<\/em><\/p>\n<hr \/>\n<p><em><a href=\"#_ftnref1\" name=\"_ftn1\">[1]<\/a> <span style=\"text-decoration: underline; color: #0000ff;\">https:\/\/www.privacyrights.org\/data-breaches<\/span><\/em><\/p>\n<p><em><a href=\"#_ftnref2\" name=\"_ftn2\">[2]<\/a> cf. par exemple Eling et Loperfido [EL17]<\/em><\/p>\n<p><em><a href=\"#_ftnref3\" name=\"_ftn3\">[3]<\/a> CART est un algorithme de construction d\u2019arbre binaire, qui effectue un partionnement r\u00e9cursif des donn\u00e9es, puis estime un mod\u00e8le simple dans chaque \u00e9l\u00e9ment de la partition (appel\u00e9es feuilles de l\u2019arbre). Diff\u00e9rents crit\u00e8res de partitionnement peuvent \u00eatre consid\u00e9r\u00e9s, comme par exemple la m\u00e9diane (arbre m\u00e9dian) ou bien la probabilit\u00e9 de Pareto g\u00e9n\u00e9ralis\u00e9e (arbre GPD pour Generalized Pareto Distribution).<\/em><\/p>\n<hr \/>\n<h3>Bibliography<\/h3>\n<p><em>[BrBH19] Bessy-Roland Y., Boumezoued A., Hillairet C., Multivariate Hawkes process for Cyber Risk Insurance., 2019, soumis.<\/em><\/p>\n<p><em>[EL17] Eling, M., Loperfido, N. Data breaches: Goodness of fit, pricing, and risk measurement. 2017, Insurance, Mathematics and Economics.<\/em><\/p>\n<p><em>[FLT19] Farkas, S., Lopez, O., Thomas, M., Cyber claims analysis through Generalized Pareto Regression Trees with applications to insurance pricing, en r\u00e9vision<\/em><\/p>\n<p><em>[HJ19] Hillairet, C., Lopez, O. Accumulation scenarios for cyber insurance based on epidemiological models, 2019, Preprint<\/em><\/p>\n<p><em>[L17] Lloyds, Counting the cost &#8211; cyber-exposure decoded, 2017, Cyence.<\/em><\/p>\n<p><em>[LP17] Lopez O., Picard F. Cyber-assurance : nouveaux mod\u00e8les pour quantifier l\u2019impact \u00e9conomique des risques num\u00e9riques. 2019, Revue d\u2019\u00e9conomie financi\u00e8re.<\/em><\/p>\n<p><em>[RM19] Etat de la menace num\u00e9rique en 2019, <span style=\"text-decoration: underline;\"><span style=\"color: #0000ff;\"><a style=\"color: #0000ff; text-decoration: underline;\" href=\"https:\/\/www.interieur.gouv.fr\/Actualites\/Communiques\/L-etat-de-la-menace-liee-au-numerique-en-2019\">https:\/\/www.interieur.gouv.fr\/Actualites\/Communiques\/L-etat-de-la-menace-liee-au-numerique-en-2019<\/a><\/span><\/span><\/em><\/p>\n<p><em><a href=\"#_ftnref1\" name=\"_ftn1\"><\/a><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L\u2019Initiative de Recherche \u00ab\u00a0Cyber-Insurance: actuarial modeling\u00a0\u00bb vise \u00e0 d\u00e9finir les m\u00e9thodologies adapt\u00e9es \u00e0 la quantification du risque cyber. La nature r\u00e9cente et \u00e9volutive du risque, la potentialit\u00e9 de ph\u00e9nom\u00e8nes d\u2019accumulation, rendent n\u00e9cessaire une approche actuarielle fine. Le projet vise \u00e0 fournir des m\u00e9thodologies utilisables notamment pour : la tarification de produits de cyber assurance le [&hellip;]<\/p>\n","protected":false},"author":274,"featured_media":4623,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","_exactmetrics_skip_tracking":false,"_exactmetrics_sitenote_active":false,"_exactmetrics_sitenote_note":"","_exactmetrics_sitenote_category":0,"footnotes":""},"categories":[199,133],"tags":[],"class_list":["post-4619","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-risques","category-themes","et-has-post-format-content","et_post_format-et-post-format-standard"],"_links":{"self":[{"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/posts\/4619","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/users\/274"}],"replies":[{"embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4619"}],"version-history":[{"count":0,"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/posts\/4619\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/media\/4623"}],"wp:attachment":[{"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4619"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4619"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4619"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}