Mémoires d'Actuariat
Evaluation du risque cyber des établissements de santé
Auteur(s) JELSCH--BISEL A.
Société Relyens
Année 2023
Confidentiel jusqu'au 23/05/2025
Résumé
Mots clés : risque Cyber, tarification, données publiques, secteur de la santé, violations de données personnelles, régression logistique, déséquilibre des classes, rééchantillonnage, ajustement de loi de probabilité. L’assurance Cyber est un marché en croissance, qui cherche à répondre au nombre grandissant d’incidents et d’attaques informatiques, en particulier dans certains secteurs comme celui de la santé. La modélisation du risque, évolutif dans le temps et aux conséquences difficiles à appréhender, est un défi pour les assureurs. Afin de proposer une solution à ses sociétaires du secteur de la santé, Relyens commercialise une assurance Cyber, dont le tarif repose sur un modèle actuariel, ainsi que des questions mesurant la sécurité informatique. Dans l’objectif de gagner en expertise Cyber, et de challenger la tarification actuelle, un modèle alternatif est construit dans ce mémoire. Le risque Cyber étant récent, Relyens ne dispose que d’un historique de sinistralité restreint. Des données publiques américaines seront donc utilisées pour la modélisation, avec application de différents retraitements pour s’adapter au contexte du contrat d’assurance de Relyens et au marché français. Dans ce mémoire, une régression logistique est effectuée pour modéliser la probabilité de survenance, avec des techniques de rééchantillonnage pour remédier au déséquilibre des classes se traduisant par une faible proportion d’incidents Cyber dans les données. Une loi est ajustée au logarithme du nombre d’individus affectés. Enfin, la probabilité de déclenchement des garanties du contrat et leur coût sont déterminés par avis d’expert.
Abstract
Keywords : Cyber risk, pricing, public data, health sector, data breach, logistic regression, class imbalance, sampling, probability distribution fitting. Cyber insurance is a growing market, which aims at responding to the increasing number of Cyber incidents and attacks, especially in some sectors such as healthcare. Modeling Cyber risk, which evolves over time and whose consequences are difficult to apprehend, is a challenge for insurers. In order to offer a solution to its clients in the health sector, Relyens markets a Cyber insurance, whose price is based on an actuarial model, as well as questions measuring IT security. With a view to gaining Cyber expertise, and to challenging the current pricing, an alternative model is built in this study. Cyber risk being a recent phenomenon, Relyens has only a limited loss history. American public data will therefore be used for the modeling, with the application of some adjustments to adapt to the context of Relyens’ insurance contract and to the french market. In this paper, a logistic regression is performed to model the probability of occurrence, with resampling techniques to address the imbalance of classes resulting in a low proportion of Cyber incidents in the data. A distribution is fitted to the logarithm of the number of affected individuals. Finally, the probability of triggering the contract’s guarantees and their cost are determined by expert opinion.
Auteur(s) JELSCH--BISEL A.
Société Relyens
Année 2023
Confidentiel jusqu'au 23/05/2025
Résumé
Mots clés : risque Cyber, tarification, données publiques, secteur de la santé, violations de données personnelles, régression logistique, déséquilibre des classes, rééchantillonnage, ajustement de loi de probabilité. L’assurance Cyber est un marché en croissance, qui cherche à répondre au nombre grandissant d’incidents et d’attaques informatiques, en particulier dans certains secteurs comme celui de la santé. La modélisation du risque, évolutif dans le temps et aux conséquences difficiles à appréhender, est un défi pour les assureurs. Afin de proposer une solution à ses sociétaires du secteur de la santé, Relyens commercialise une assurance Cyber, dont le tarif repose sur un modèle actuariel, ainsi que des questions mesurant la sécurité informatique. Dans l’objectif de gagner en expertise Cyber, et de challenger la tarification actuelle, un modèle alternatif est construit dans ce mémoire. Le risque Cyber étant récent, Relyens ne dispose que d’un historique de sinistralité restreint. Des données publiques américaines seront donc utilisées pour la modélisation, avec application de différents retraitements pour s’adapter au contexte du contrat d’assurance de Relyens et au marché français. Dans ce mémoire, une régression logistique est effectuée pour modéliser la probabilité de survenance, avec des techniques de rééchantillonnage pour remédier au déséquilibre des classes se traduisant par une faible proportion d’incidents Cyber dans les données. Une loi est ajustée au logarithme du nombre d’individus affectés. Enfin, la probabilité de déclenchement des garanties du contrat et leur coût sont déterminés par avis d’expert.
Abstract
Keywords : Cyber risk, pricing, public data, health sector, data breach, logistic regression, class imbalance, sampling, probability distribution fitting. Cyber insurance is a growing market, which aims at responding to the increasing number of Cyber incidents and attacks, especially in some sectors such as healthcare. Modeling Cyber risk, which evolves over time and whose consequences are difficult to apprehend, is a challenge for insurers. In order to offer a solution to its clients in the health sector, Relyens markets a Cyber insurance, whose price is based on an actuarial model, as well as questions measuring IT security. With a view to gaining Cyber expertise, and to challenging the current pricing, an alternative model is built in this study. Cyber risk being a recent phenomenon, Relyens has only a limited loss history. American public data will therefore be used for the modeling, with the application of some adjustments to adapt to the context of Relyens’ insurance contract and to the french market. In this paper, a logistic regression is performed to model the probability of occurrence, with resampling techniques to address the imbalance of classes resulting in a low proportion of Cyber incidents in the data. A distribution is fitted to the logarithm of the number of affected individuals. Finally, the probability of triggering the contract’s guarantees and their cost are determined by expert opinion.