Mémoires d'Actuariat
Modélisation du risque cyber des entreprises françaises
Auteur(s) RANGUIN A.
Société CCR
Année 2024
Confidentiel jusqu'au 26/01/2026
Résumé
Risque évolutif, hétérogène et systémique, le risque cyber regroupe l’ensemble des risques liés à une utilisation inappropriée des technologies numériques et des systèmes d’information. Les incidents cyber sont en grande partie d’origine humaine et peuvent être de nature intentionnelle (cyberattaque) ou non (erreur). Le coût des incidents cyber des entreprises varie selon le type d’incident, le secteur d’activité et la taille d’entreprise notamment. Les coûts comprennent principalement des pertes d’exploitation, des coûts de restauration des données et systèmes, des frais juridiques et un éventuel paiement de rançon. L’objet de ce mémoire est l’étude et la quantification du risque cyber des entreprises françaises face à une tendance croissante de la fréquence et sévérité des incidents cyber en France et dans le monde. Les caractéristiques des incidents cyber sont détaillés ainsi que l’état du marché de l’assurance et de la réassurance cyber et du cadre réglementaire actuel. Trois bases de données publiques sont analysées et comparées, recensant des incidents ayant eu lieu essentiellement aux Etats-Unis. Un portefeuille fictif d’entreprises françaises est constitué à partir des agrégats de la base ESANE puis un modèle de sinistralité cyber est construit. Le modèle est calibré sur la base communautaire VERIS puis transposé sur le marché français avec les résultats du rapport LUCY de l’AMRAE et complété d’une approche bayésienne. Tant les choix de modélisation que les résultats obtenus sont mis en perspective avec plusieurs études externes. Mots clés : risque cyber, incidents cyber, compromission de données, assurance et réassurance cyber, RGPD, PRC, VERIS, Hackmageddon, CART, Bayesien, ESANE, LUCY
Abstract
Dynamic, diverse, and systemic, cyber risks include all risks related to the inappropriate use of digital technologies and information systems. Cyber incidents are largely of human origin and can be intentional (cyberattack) or unintentional (error). The cost of cyber incidents for companies varies depending on the type of incident, the industry, and the company size, among other factors. Costs primarily include business interruption, data and system recovery costs, legal expenses, and potential ransom payments. The purpose of this master’s thesis is the study and quantification of the cyber risk of French companies considering a growing trend in the frequency and severity of cyber incidents in France and worldwide. The features of cyber incidents are outlined, along with the current state of the cyber insurance and reinsurance market and the existing regulatory framework. Three public databases are analysed and compared, listing incidents that took place mainly in the United States. A fictitious portfolio of French companies is built up using aggregates from the ESANE database, and a cyber claims model is then constructed. The model is calibrated on the VERIS Community database and transposed to the French market using the results of AMRAE’s LUCY reports, then enhanced with a Bayesian approach. Both modelling choices and results are put into perspective with several external studies. Key words: cyber risk, cyber incident, data breach, cyber insurance and reinsurance, GDPR, PRC, VERIS, Hackmageddon, CART, Bayesian statistics, ESANE, LUCY
Auteur(s) RANGUIN A.
Société CCR
Année 2024
Confidentiel jusqu'au 26/01/2026
Résumé
Risque évolutif, hétérogène et systémique, le risque cyber regroupe l’ensemble des risques liés à une utilisation inappropriée des technologies numériques et des systèmes d’information. Les incidents cyber sont en grande partie d’origine humaine et peuvent être de nature intentionnelle (cyberattaque) ou non (erreur). Le coût des incidents cyber des entreprises varie selon le type d’incident, le secteur d’activité et la taille d’entreprise notamment. Les coûts comprennent principalement des pertes d’exploitation, des coûts de restauration des données et systèmes, des frais juridiques et un éventuel paiement de rançon. L’objet de ce mémoire est l’étude et la quantification du risque cyber des entreprises françaises face à une tendance croissante de la fréquence et sévérité des incidents cyber en France et dans le monde. Les caractéristiques des incidents cyber sont détaillés ainsi que l’état du marché de l’assurance et de la réassurance cyber et du cadre réglementaire actuel. Trois bases de données publiques sont analysées et comparées, recensant des incidents ayant eu lieu essentiellement aux Etats-Unis. Un portefeuille fictif d’entreprises françaises est constitué à partir des agrégats de la base ESANE puis un modèle de sinistralité cyber est construit. Le modèle est calibré sur la base communautaire VERIS puis transposé sur le marché français avec les résultats du rapport LUCY de l’AMRAE et complété d’une approche bayésienne. Tant les choix de modélisation que les résultats obtenus sont mis en perspective avec plusieurs études externes. Mots clés : risque cyber, incidents cyber, compromission de données, assurance et réassurance cyber, RGPD, PRC, VERIS, Hackmageddon, CART, Bayesien, ESANE, LUCY
Abstract
Dynamic, diverse, and systemic, cyber risks include all risks related to the inappropriate use of digital technologies and information systems. Cyber incidents are largely of human origin and can be intentional (cyberattack) or unintentional (error). The cost of cyber incidents for companies varies depending on the type of incident, the industry, and the company size, among other factors. Costs primarily include business interruption, data and system recovery costs, legal expenses, and potential ransom payments. The purpose of this master’s thesis is the study and quantification of the cyber risk of French companies considering a growing trend in the frequency and severity of cyber incidents in France and worldwide. The features of cyber incidents are outlined, along with the current state of the cyber insurance and reinsurance market and the existing regulatory framework. Three public databases are analysed and compared, listing incidents that took place mainly in the United States. A fictitious portfolio of French companies is built up using aggregates from the ESANE database, and a cyber claims model is then constructed. The model is calibrated on the VERIS Community database and transposed to the French market using the results of AMRAE’s LUCY reports, then enhanced with a Bayesian approach. Both modelling choices and results are put into perspective with several external studies. Key words: cyber risk, cyber incident, data breach, cyber insurance and reinsurance, GDPR, PRC, VERIS, Hackmageddon, CART, Bayesian statistics, ESANE, LUCY