Rapport Risque Emergent 2017

Technologie

Evaluer les cots

lexposition au risque cyber dcode
 02

Avis de non responsabilit du Lloyds Contact

Ce rapport a t co-produit par le Lloyds et Cyence titre
dinformation uniquement. Bien quune attention particulire
a t apporte la collecte des donnes et la prparation
du rapport, le Lloyds naccepte aucune responsabilit quant
lexactitude de ces donnes ou leur exhaustivit et
exclut expressment toutes responsabilits ou garanties
implicites dans les limites autorises par la loi.
Le Lloyds naccepte aucune responsabilit ou obligation
pour toute perte ou dommage de toute nature caus toute
personne en raison de son action ou de son absence
daction la suite de, ou en lien avec, toute dclaration, fait,
figure ou expression dopinion ou de croyance contenue
dans le prsent rapport. Ce rapport ne constitue en aucune
faon une consultation juridique ou avis.
Lloyds 2017
Tous droits rservs
Trevor Maynard
Head of Innovation
trevor.maynard@lloyds.com
Pour toute information sur ce rapport et les tudes du
Lloyds sur des sujets innovants, merci de contacter
innovation@lloyds.com
A propos des auteurs
Trevor Maynard PhD, MSc, FIA has degrees in pure maths
and statistics and is a Fellow of the Institute of Actuaries. He
is Head of Innovation at Lloyds including responsibility for
horizon scanning and emerging risks. Subjects covered in
recent years include: the economic and social implications of
a food system shock; the effects of cyber-attacks on the US
energy grid and an exploration of aggregation modelling
methods for liability risks.

A propos du Lloyds He is co-chairman of OASIS, an open modelling platform for

Le Lloyd's est le march mondial dassurance et de catastrophe models and sits on the Board of the Lighthill
rassurance spcialises. Soutenu par des capitaux Risk Network.
mondiaux diversifis et dexcellentes notations financires,
George Ng, a founder and Chief Technology Officer, leads
le Lloyds sappuie sur un rseau international pour
major research projects and initiatives at Cyence.
dvelopper lassurance au niveau mondial, en donnant aux
Previously, he was the Chief Data Scientist at YarcData.
entreprises et aux collectivits les cls pour renforcer leur
George has also worked as a Research Scientist at DARPA
rsilience et en favorisant la croissance conomique
and US-CERT and as faculty at American University. He
mondiale.Le savoir-faire accumul au fil des sicles fait du
received his PhD from UC Irvine and B.A. from UC Berkeley,
Lloyds le pilier et lavenir du monde de lassurance. Men
both in Economics.
par des assureurs et courtiers expriments couvrant plus
de 200 territoires, le march du Lloyds propose les
assurances essentielles, complexes et critiques qui
Remerciements
accompagnent le progrs. Pour lensemble des remerciements merci de vous reporter
au rapport complet.
A propos de Cyence
Cyence donne les moyens aux assureurs de comprendre
limpact du risque cyber partir de donnes en dollars et de
probabilits. Lapproche unique de Cyence combine la
modlisation conomique et la modlisation des risques, la
cyberscurit et lanalyse du big data pour crer une plate-
forme de modlisation du risque cyber lchelle
conomique. La Plateforme Cyence et ses analyses sont
utilises par les leaders de lindustrie de lassurance tant
pour les aider comprendre et grer le risque cyber que
pour crer des produits dassurance innovants.

Evaluer les cots: lexposition au risque cyber dcode

Synthse
Synthse
Ce rapport a pour objectif de fournir aux assureurs devant
dfinir des solutions dassurance cyber, des scnarios
ralistes et plausibles afin de les aider quantifier les
risques cyber. La prise de conscience lgard de la
responsabilit informatique et de lexposition aux risques
cyber est relativement limite en comparaison avec dautres
catgories dassurance.
En dveloppant leur comprhension de lexposition aux
risques cyber, les assureurs seront en mesure damliorer la
gestion de lexposition de leur portefeuille, de dfinir des
limites appropries et dacqurir la confiance ncessaire
pour sengager sur ce segment de lassurance en plein
essor.
Le rapport sadresse aux risk managers dont les activits
sont exposes aux types de cyberattaques dcrits dans les
deux scnarios du rapport : une opration de piratage
nuisant lactivit de leur prestataire de services
informatiques cloud ou une attaque entranant la dfaillance
dun systme dexploitation spcifique au sein de leur propre
entreprise ou chez leurs clients, fournisseurs et/ou
partenaires professionnels.
Chacun de ces scnarios comprend un ensemble de
variables incluant lattnuation des risques et la rponse en
cas dattaque cyber. Cela signifie que les organisations
peuvent estimer limpact sur leurs propres oprations.
Mthodologie
Ce rapport a t labor par Le Lloyds et Cyence qui ont
constitu une quipe pluridisciplinaire dexperts en
cyberscurit, en modlisation des risques conomiques et
en assurance cyber.
Cyence a entrepris un processus structur de recherche en
sept tapes, afin de gnrer les scnarios et produire les
estimations de perte dans ce rapport. Les sept tapes sont
les suivantes :
1. tude des technologies largement rpandues et
adoptes dans toutes les industries
2. tude des autres facteurs non techniques
3. Collecte et traitement des donnes relatives aux
diffrentes expositions
4. Analyse des voies daccumulation dexposition
5. Slection des scnarios, modles de frquence et de
gravit
6. Discussion et analyse avec les experts en assurance et
en cyberscurit
7. Calcul des pertes et revue finale
Evaluer les cots: lexposition au risque cyber dcode
03
Le Lloyds a travaill conjointement avec la Lloyds Market
Association (Association du march du Lloyds) sur une
succession dateliers collaboratifs impliquant des
souscripteurs du march du Lloyds spcialiss en
assurance cyber pour changer et inclure le retour
dinformation dans le rapport, ainsi que pour identifier les
rpercussions et les lments dapprciation pour le secteur
de lassurance.
Attaques cyber: une menace
grandissante
Le risque cyber est une menace mondiale croissante. Alors
que la technologie numrique rvolutionne les modles
commerciaux et transforme la vie quotidienne, elle rend
galement les conomies mondiales plus vulnrables face
aux cyberattaques.
De ce fait, les consquences de la cybercriminalit sur
lconomie et les assurances saggravent. On estime quen
2016, les cyberattaques ont cot quelques 450 milliards
dUSD aux entreprises, lchelle mondiale (Graham,
2017). De plus en plus, les assureurs proposent une
assistance dans la gestion de ces vnements : il peut sagir
dinfractions individuelles causes par des initis
malveillants ou des pirates informatiques, de pertes plus
consquentes lies, par exemple, des infractions relatives
aux terminaux de points de vente, dattaques par
ransomware (telles que BitLocker et WannaCry), ou encore
dattaques par dni de service distribu comme Mirai.
La cybermenace se propage un rythme croissant et son
expansion devrait se poursuivre avec le dveloppement
numrique, dans lconomie mondiale, des oprations, des
chanes dapprovisionnement et des transactions
commerciales ainsi que des services aux employs et aux
clients.
Des dfis relever pour les
assureurs
mesure que la menace cyber crot, la demande en
assurance cyber augmente. Lquipe Class of Business
Performance du Lloyds estime que le march mondial de la
cyberassurance reprsente aujourdhui entre 3 et
3,5 milliards dUSD. Dici 2020, certains analystes pensent
quil pourrait peser 7,5 milliards dUSD (PwC, 2015). Les
assureurs biens et responsabilits ont enregistr
1,35 milliard de dollars de primes directes souscrites pour la
Synthse
cyberassurance en 2016, soit un bond de 35 % par rapport
2015, daprs les rapports de Fitch Ratings et A.M. Best.
Malgr cette progression, la comprhension par les
assureurs des questions de responsabilit et dagrgation
des risques en matire de cyberscurit est un processus
de longue haleine qui volue avec lexprience et la
connaissance croissantes lies aux cyberattaques.
Lutilisation que les assurs font dInternet est galement en
pleine volution, occasionnant un changement rapide dans
laccumulation des risques cyber, sans prcdent par
rapport dautres menaces.
La modlisation des risques dans lassurance traditionnelle
repose sur des sources dinformation fiables, telles que des
donnes nationales ou de lindustrie mais il nexiste pas de
sources quivalentes en ce qui concerne le risque cyber.
Par consquent, les donnes ncessaires la modlisation
de laccumulation des risques cyber doivent tre collectes
grande chelle. La collecte des donnes et leur mise
jour rgulire sont donc des lments cls pour mieux
comprendre lvolution de ce risque.
Approfondir la comprhension du
cumul des risques cyber
Ce rapport est destin amliorer la comprhension des
assureurs et des risk managers en matire de
responsabilit et dagrgation des risques cyber. Il permet
danalyser le cumul travers le prisme de six tendances
contribuant la vulnrabilit numrique. Comprendre ces
tendances est primordial pour matriser lagrgation des
risques cyber.
Ces tendances sont les suivantes:
1. Volume de contributeurs: le nombre de personnes
dveloppant des logiciels a augment de faon
significative au cours des trente dernires annes.
Chaque contributeur peut potentiellement rendre le
systme plus vulnrable en raison du risque derreur
humaine.
2. Volume de logiciels: outre le nombre croissant de
personnes susceptibles de modifier le code des
logiciels, le nombre de logiciels crs est galement en
augmentation. Plus de code signifie davantage derreurs
potentielles et, en consquence, plus de vulnrabilit.
3. Logiciel libre: le mouvement du logiciel libre et ouvert
(open-source software) a abouti de nombreuses
initiatives innovantes. Cependant, un grand nombre de
bibliothques libres sont mises en ligne et, bien quelles
soient supposes faire lobjet de contrles en termes de
fonctionnalit et de scurit, ce nest pas toujours le
cas. Toute erreur introduite dans le code primaire peut
tre involontairement rpercute dans les itrations
suivantes.
Evaluer les cots: lexposition au risque cyber dcode
04
4. Ancien logiciel: plus un logiciel reste sur le march, plus
les individus malveillants ont le temps de dtecter et
dexploiter ses vulnrabilits. De nombreux utilisateurs,
particuliers et entreprises, utilisent des versions
obsoltes de logiciels qui proposent pourtant des
alternatives plus scurises.
5. Logiciel multicouche: les nouveaux logiciels sont
gnralement conus partir dun code source
antrieur. De ce fait, les phases de test et de correction
sont fastidieuses et ncessitent la mobilisation de
ressources considrables.
6. Logiciel gnr : certains codes sources peuvent
tre gnrs par des processus automatiss pouvant
tre modifis dans un but malveillant.
Le rapport a galement recours des scnarios visant
quantifier les dommages pouvant rsulter de deux types
dincidents cyber.
Scnario 1: piratage dun fournisseur de
services informatiques cloud
Un groupe sophistiqu de hackers militants dcide de
perturber lactivit de prestataires de services informatiques
cloud et celle de leurs clients pour attirer lattention sur
limpact environnemental des entreprises et de lconomie
moderne. Le groupe modifie de faon malveillante un
hyperviseur qui contrle linfrastructure cloud. Cet acte
se traduit par une panne de nombreux serveurs clients
hbergs et par une interruption gnralise des services et
de lactivit.
Scnario 2: attaque ciblant une faille
gnralise
Dans un train, un cyberanalyste oublie son sac qui contient
la copie papier dun rapport sur une faille affectant
lensemble des versions dun systme dexploitation utilis
par 45 % du march mondial. Mis en vente sur le dark web,
ce document est achet par un nombre indtermin de
malfaiteurs non identifis qui dveloppent des exploits a
systme et lancent des attaques sur des entreprises
vulnrables en vue dun gain financier.
a
Le terme exploit dsigne lutilisation dun lment de programme
(logiciel, donnes ou commande) dans le but dexploiter une faille
prsente dans un systme dexploitation ou un logiciel, des fins
malveillantes.
Synthse
Rsultats cls
Le rapport met en vidence cinq constatations majeures:
Les impacts conomiques directs des incidents cyber
peuvent entraner un grand nombre de prjudices
conomiques. Concernant le scnario relatif au
dysfonctionnement des services informatiques cloud,
mentionn prcdemment dans ce rapport, ce type de
dommages stend de 4,6 milliards dUSD pour un
incident important, 53,1 milliards pour un incident
majeur. Dans le scnario dune faille logicielle
gnralise, les pertes moyennes schelonnent entre
9,7 milliards dUSD pour un incident important et
28,7 milliards pour un incident majeur b.
Les pertes conomiques pourraient tre nettement
infrieures ou suprieures la moyenne calcule dans
les deux scnarios, leur montant global tant difficile
dterminer prcisment. Ainsi, alors que les pertes
moyennes dans le scnario de dfaillance des services
informatiques cloud slvent 53,1 milliards dUSD
pour un incident majeur, elles pourraient atteindre
121,4 milliards ou se limiter 15,6 milliards dUSD c en
fonction, notamment, des entreprises concernes et de
la dure dindisponibilit des services.
Les attaques cyber peuvent gnrer un montant assur
svaluant en milliards de dollars. Dans le cas du
scnario de dfaillance des services informatiques
cloud, par exemple, le montant assur est compris entre
620 millions dUSD pour une perte importante et
8,1 milliards pour une perte majeure. Dans le cas du
scnario dune faille logicielle gnralise, le montant
assur est compris entre 762 millions dUSD (perte
importante) et 2,1 milliards (perte majeure).
Les scnarios rvlent un dficit dassurance compris
entre 4 milliards dUSD (perte importante) et 45 milliards
(perte majeure), en ce qui concerne le scnario de
dfaillance des services informatiques cloud, les pertes
conomiques tant couvertes hauteur de 13% et 17%
respectivement. Pour le scnario de la faille logicielle
gnralise, le dficit dassurance est compris entre
8,9 milliards dUSD (perte importante) et
26,6 milliards (perte majeure), seuls 7% des pertes
conomiques tant couverts.
b
Les chiffres cits reprsentent le montant moyen des pertes estimes
sur une priode dun an en cas dvnement important ou majeur. Ils
tiennent compte de lensemble des dpenses directes attendues lies
ces vnements. Les consquences de type dommages aux biens,
atteintes corporelles ou encore pertes indirectes, notamment la perte de
clients et latteinte la rputation, ne sont pas prises en considration.
c
Lintervalle de confiance pour ces exemples est de 95 %. Valeur
considre comme estimation fiable pour la prise en compte des
paramtres connus et inconnus.
Evaluer les cots: lexposition au risque cyber dcode
05
Lorsque les primes du march estimes actuelles sont
values par rapport aux estimations de perte prvues
par les scnarios dassurance cyber prsents dans ce
rapport, il apparat quun seul incident cyber peut
accrotre le ratio sinistres-primes du secteur de 19% et
250% respectivement, en cas de pertes importantes et
majeures. Cela illustre le potentiel catastrophique du
risque cyber.
Conclusion
La demande en assurance cyber augmente mesure que la
menace cyber progresse.
Malgr cette progression, la comprhension par les
assureurs des questions de responsabilit et de cumul des
risques en matire de cyberscurit est un processus de
longue haleine qui volue avec lexprience quils
acquirent. Aussi, il est crucial que la comprhension du
risque, y compris les calculs de primes techniques et les
modles de capital, garde le rythme face lvolution
constante de la base de connaissances relative au risque
cyber.
Dans dautres branches dassurance, les assureurs ont
dvelopp une meilleure comprhension en matire de
responsabilit et dagrgation des risques. Par exemple, il
est largement admis que les catastrophes naturelles sont
susceptibles de donner lieu de multiples dclarations de
sinistres manant de nombreux assurs, participant ainsi
laugmentation considrable du cot des sinistres pour les
assureurs. Les polices dassurance couvrant les
catastrophes naturelles tiennent gnralement compte de ce
fait et la rassurance est alors communment utilise afin
de rduire limpact du cumul des risques.
Les rsultats du rapport indiquent que les pertes
conomiques rsultant dincidents cyber peuvent tre aussi
consquentes que celles engendres par les ouragans les
plus dvastateurs. Considrer lassurance cyber en ces
termes et anticiper de faon explicite limpact des
catastrophes lies la cyberscurit pourrait constituer un
rel avantage pour les assureurs. Pour y parvenir, la
collecte des donnes et le niveau de qualit de ces
dernires sont des lments primordiaux, dautant plus que
les risques cyber voluent sans cesse.
Afin que le secteur de lassurance puisse capitaliser sur le
march en pleine croissance de la cyberscurit, les
assureurs pourraient tirer avantage dune meilleure
comprhension du risque volatile, implicite dans le domaine
de lassurance cyber.
Les risk managers peuvent utiliser les scnarios de
cyberscurit afin denvisager les impacts des attaques
cyber sur leurs principaux processus oprationnels et mettre
en uvre les actions ncessaires pour limiter ces risques.
Synthse 06

Rfrences

Graham, L. 2017. Cybercrime costs the global economy $450 billion [en ligne] (La cybercriminalit cote 450 milliards dUSD
lconomie mondiale). CNBC Cyber Security. Consultable sur : http://www.cnbc.com/2017/02/07/cybercrime-costs-the-global-
economy-450-billion-ceo.html

PwC. 2015. Insurance 2020 & beyond: Reaping the dividends of cyber resilience [en ligne] (Lassurance en 2020 et au-del :
rcolter les fruits de la cyberrsilience). Consultable sur : http://www.pwc.com/gx/en/insurance/publications/assets/reaping-
dividends-cyber-resilience.pdf

Stanley, C. 2017. valuation du march de la cyberassurance (Interview du 26 juin avec Christian Stanley, Casualty
Executive, Class of Business Underwriting Performance, Lloyds).

Evaluer les cots: lexposition au risque cyber dcode