Le risque cyber est devenu l’une des menaces les plus critiques pour les organisations, se caractérisant par sa nature contagieuse et sa dépendance aux vulnérabilités numériques. Ces particularités rendent particulièrement complexes la quantification des expositions systémiques et la conception de stress-tests permettant aux assureurs d’évaluer la résilience de leurs portefeuilles cyber face à des scénarios extrêmes.
Ces scénarios de stress, qui évaluent l’impact d’événements d’accumulation de nombreux sinistres sur un intervalle de temps réduit, sont essentiels tant pour le provisionnement que pour répondre aux contraintes réglementaires1. L’un des défis majeurs consiste à bien prendre en compte les structures de dépendance inhérentes au risque cyber. Or les approches traditionnelles de stress-testing, qui consistent à perturber les paramètres du modèle, ne parviennent pas à saisir l’impact de scénarios défavorables générant des cascades de sinistres. Le modèle actuariel classique de Cramer-Lundberg repose sur un processus de Poisson pour modéliser l’arrivée des sinistres du portefeuille, ce qui suppose l’indépendance des instants de survenance des événements. Bien que ce modèle, apprécié pour sa simplicité, soit largement utilisé et pertinent pour de nombreux risques, il s’avère néanmoins inadéquat pour reproduire les clusters de sinistres qui caractérisent certaines cyberattaques. Par conséquent, le risque cyber nécessite l’utilisation de modèles plus complexes, capables de mieux prendre en compte les composantes systémiques et dynamiques du risque.
Dans un travail récent2, nous étudions et quantifions l’impact de deux scénarios de crise permettant de capter les effets de clusters découlant de la structure de dépendance du risque cyber : un excédent de sinistres contagieux au sein du portefeuille et une divulgation massive de vulnérabilités critiques.
Ces scénarios reposent sur des modèles de processus de Hawkes avec excitation externe, qui intègrent explicitement dans la dynamique des arrivées de cyberattaques l’impact de chocs exogènes (comme les divulgations de vulnérabilités numériques), ainsi que des phénomènes de contagion. Ce modèle (voir infographie 1) a été introduit et testé sur des données réelles3.
Bien que ce modèle soit en adéquation avec les données réelles, il pose intrinsèquement des défis en matière de quantification des risques dus à la perte des hypothèses d’indépendance qui rendaient les calculs agréables dans le modèle de Cramer-Lundberg. Pour pallier cela, nous nous appuyons sur le cadre général des « processus multivariés auto-excités avec dépendances »4, et proposons des expressions analytiques pour l’espérance et la variance du processus de perte cyber non stressé (benchmark), ainsi que de la perte excédentaire totale résultant d’un des deux scénarios de stress (voir infographie 2).
La différence entre les courbes vertes (modèle classique de Cramer-Lundberg sans contagion ni dépendance) et les courbes bleues et orange (dépendances élevée et moyenne respectivement) illustrent les erreurs de quantification induites par une mauvaise spécification du modèle.
La méthodologie proposée complète les approches classiques de stress-testing, en considérant des perturbations au niveau des trajectoires et non plus uniquement des perturbations paramétriques. Cela permet une description plus fine des mécanismes de propagation du scénario de crise, afin de quantifier l’impact des événements extrêmes dans des modèles présentant des dynamiques endogènes et exogènes. Ainsi, en développant des scénarios de stress traduisant les caractéristiques systémiques des événements cyber et en quantifiant l’impact de ces scénarios, notre travail offre aux assureurs des outils efficaces pour l’évaluation et la gestion du risque cyber.
