Risque cyber, un modèle épidémiologique sur réseaux pour le risque d'accumulation du cyber silencieux

PRA (2016), l'ACPR (2019), l'EIOPA (2020) et la Direction Générale du Trésor (2022) entre autres, ont souligné l’importance d’une évaluation silencieuse du cyber risque. De plus, le risque d’accumulation cyber est un enjeu de modélisation important comme le montre l’évènement Wannacry de 2017.

Nous présentons dans cet article un portefeuille fictif où les interactions entre les assurés sont modélisées par un réseau qui se base sur les secteurs présentés lors d’une étude de l’OCDE (OCDE, 2018). Dans notre application, nous commençons par définir l’exposition silencieuse au sein d’un portefeuille comme la part des contrats n’excluant ou n’affirmant pas de manière explicite le risque cyber, et ce, pour chaque garantie de la police souscrite. Ensuite, en utilisant un scénario de perte d’exploitation, nous évaluons le nombre d’assurés infectés et la perte probable en utilisant des modèles épidémiologiques afin de modéliser un évènement d’accumulation. Il en ressort que l’ajustement de certains paramètres (la capacité d’intervention de l’assureur ou les secteurs du portefeuille) peut réduire la perte globale.