Vous êtes sur la page 1sur 6

Rapport Risque Emergent 2017

Technologie

Evaluer les cots


lexposition au risque cyber dcode
02

Avis de non responsabilit du Lloyds Contact


Ce rapport a t co-produit par le Lloyds et Cyence titre
Trevor Maynard
dinformation uniquement. Bien quune attention particulire
Head of Innovation
a t apporte la collecte des donnes et la prparation
trevor.maynard@lloyds.com
du rapport, le Lloyds naccepte aucune responsabilit quant
lexactitude de ces donnes ou leur exhaustivit et
Pour toute information sur ce rapport et les tudes du
exclut expressment toutes responsabilits ou garanties
Lloyds sur des sujets innovants, merci de contacter
implicites dans les limites autorises par la loi.
innovation@lloyds.com
Le Lloyds naccepte aucune responsabilit ou obligation
pour toute perte ou dommage de toute nature caus toute A propos des auteurs
personne en raison de son action ou de son absence Trevor Maynard PhD, MSc, FIA has degrees in pure maths
daction la suite de, ou en lien avec, toute dclaration, fait, and statistics and is a Fellow of the Institute of Actuaries. He
figure ou expression dopinion ou de croyance contenue is Head of Innovation at Lloyds including responsibility for
dans le prsent rapport. Ce rapport ne constitue en aucune horizon scanning and emerging risks. Subjects covered in
faon une consultation juridique ou avis. recent years include: the economic and social implications of
a food system shock; the effects of cyber-attacks on the US
Lloyds 2017
energy grid and an exploration of aggregation modelling
Tous droits rservs
methods for liability risks.

A propos du Lloyds He is co-chairman of OASIS, an open modelling platform for


Le Lloyd's est le march mondial dassurance et de catastrophe models and sits on the Board of the Lighthill
rassurance spcialises. Soutenu par des capitaux Risk Network.
mondiaux diversifis et dexcellentes notations financires,
George Ng, a founder and Chief Technology Officer, leads
le Lloyds sappuie sur un rseau international pour
major research projects and initiatives at Cyence.
dvelopper lassurance au niveau mondial, en donnant aux
Previously, he was the Chief Data Scientist at YarcData.
entreprises et aux collectivits les cls pour renforcer leur
George has also worked as a Research Scientist at DARPA
rsilience et en favorisant la croissance conomique
and US-CERT and as faculty at American University. He
mondiale.Le savoir-faire accumul au fil des sicles fait du
received his PhD from UC Irvine and B.A. from UC Berkeley,
Lloyds le pilier et lavenir du monde de lassurance. Men
both in Economics.
par des assureurs et courtiers expriments couvrant plus
de 200 territoires, le march du Lloyds propose les
assurances essentielles, complexes et critiques qui
Remerciements
accompagnent le progrs. Pour lensemble des remerciements merci de vous reporter
au rapport complet.
A propos de Cyence
Cyence donne les moyens aux assureurs de comprendre
limpact du risque cyber partir de donnes en dollars et de
probabilits. Lapproche unique de Cyence combine la
modlisation conomique et la modlisation des risques, la
cyberscurit et lanalyse du big data pour crer une plate-
forme de modlisation du risque cyber lchelle
conomique. La Plateforme Cyence et ses analyses sont
utilises par les leaders de lindustrie de lassurance tant
pour les aider comprendre et grer le risque cyber que
pour crer des produits dassurance innovants.

Evaluer les cots: lexposition au risque cyber dcode


Synthse 03

Synthse

Ce rapport a pour objectif de fournir aux assureurs devant Le Lloyds a travaill conjointement avec la Lloyds Market
dfinir des solutions dassurance cyber, des scnarios Association (Association du march du Lloyds) sur une
ralistes et plausibles afin de les aider quantifier les succession dateliers collaboratifs impliquant des
risques cyber. La prise de conscience lgard de la souscripteurs du march du Lloyds spcialiss en
responsabilit informatique et de lexposition aux risques assurance cyber pour changer et inclure le retour
cyber est relativement limite en comparaison avec dautres dinformation dans le rapport, ainsi que pour identifier les
catgories dassurance. rpercussions et les lments dapprciation pour le secteur
de lassurance.
En dveloppant leur comprhension de lexposition aux
risques cyber, les assureurs seront en mesure damliorer la
gestion de lexposition de leur portefeuille, de dfinir des
Attaques cyber: une menace
limites appropries et dacqurir la confiance ncessaire grandissante
pour sengager sur ce segment de lassurance en plein
essor. Le risque cyber est une menace mondiale croissante. Alors
que la technologie numrique rvolutionne les modles
Le rapport sadresse aux risk managers dont les activits
commerciaux et transforme la vie quotidienne, elle rend
sont exposes aux types de cyberattaques dcrits dans les
galement les conomies mondiales plus vulnrables face
deux scnarios du rapport : une opration de piratage
aux cyberattaques.
nuisant lactivit de leur prestataire de services
informatiques cloud ou une attaque entranant la dfaillance De ce fait, les consquences de la cybercriminalit sur
dun systme dexploitation spcifique au sein de leur propre lconomie et les assurances saggravent. On estime quen
entreprise ou chez leurs clients, fournisseurs et/ou 2016, les cyberattaques ont cot quelques 450 milliards
partenaires professionnels. dUSD aux entreprises, lchelle mondiale (Graham,
2017). De plus en plus, les assureurs proposent une
Chacun de ces scnarios comprend un ensemble de
assistance dans la gestion de ces vnements : il peut sagir
variables incluant lattnuation des risques et la rponse en
dinfractions individuelles causes par des initis
cas dattaque cyber. Cela signifie que les organisations
malveillants ou des pirates informatiques, de pertes plus
peuvent estimer limpact sur leurs propres oprations.
consquentes lies, par exemple, des infractions relatives
aux terminaux de points de vente, dattaques par
Mthodologie ransomware (telles que BitLocker et WannaCry), ou encore
Ce rapport a t labor par Le Lloyds et Cyence qui ont dattaques par dni de service distribu comme Mirai.
constitu une quipe pluridisciplinaire dexperts en
La cybermenace se propage un rythme croissant et son
cyberscurit, en modlisation des risques conomiques et
expansion devrait se poursuivre avec le dveloppement
en assurance cyber.
numrique, dans lconomie mondiale, des oprations, des
Cyence a entrepris un processus structur de recherche en chanes dapprovisionnement et des transactions
sept tapes, afin de gnrer les scnarios et produire les commerciales ainsi que des services aux employs et aux
estimations de perte dans ce rapport. Les sept tapes sont clients.
les suivantes :
Des dfis relever pour les
1. tude des technologies largement rpandues et
adoptes dans toutes les industries assureurs
2. tude des autres facteurs non techniques
mesure que la menace cyber crot, la demande en
3. Collecte et traitement des donnes relatives aux
assurance cyber augmente. Lquipe Class of Business
diffrentes expositions
Performance du Lloyds estime que le march mondial de la
4. Analyse des voies daccumulation dexposition
cyberassurance reprsente aujourdhui entre 3 et
5. Slection des scnarios, modles de frquence et de
3,5 milliards dUSD. Dici 2020, certains analystes pensent
gravit
quil pourrait peser 7,5 milliards dUSD (PwC, 2015). Les
6. Discussion et analyse avec les experts en assurance et
assureurs biens et responsabilits ont enregistr
en cyberscurit
1,35 milliard de dollars de primes directes souscrites pour la
7. Calcul des pertes et revue finale
Evaluer les cots: lexposition au risque cyber dcode
Synthse 04

cyberassurance en 2016, soit un bond de 35 % par rapport 4. Ancien logiciel: plus un logiciel reste sur le march, plus
2015, daprs les rapports de Fitch Ratings et A.M. Best. les individus malveillants ont le temps de dtecter et
dexploiter ses vulnrabilits. De nombreux utilisateurs,
Malgr cette progression, la comprhension par les particuliers et entreprises, utilisent des versions
assureurs des questions de responsabilit et dagrgation obsoltes de logiciels qui proposent pourtant des
des risques en matire de cyberscurit est un processus alternatives plus scurises.
de longue haleine qui volue avec lexprience et la
connaissance croissantes lies aux cyberattaques. 5. Logiciel multicouche: les nouveaux logiciels sont
Lutilisation que les assurs font dInternet est galement en gnralement conus partir dun code source
pleine volution, occasionnant un changement rapide dans antrieur. De ce fait, les phases de test et de correction
laccumulation des risques cyber, sans prcdent par sont fastidieuses et ncessitent la mobilisation de
rapport dautres menaces. ressources considrables.

La modlisation des risques dans lassurance traditionnelle 6. Logiciel gnr : certains codes sources peuvent
repose sur des sources dinformation fiables, telles que des tre gnrs par des processus automatiss pouvant
donnes nationales ou de lindustrie mais il nexiste pas de tre modifis dans un but malveillant.
sources quivalentes en ce qui concerne le risque cyber.
Par consquent, les donnes ncessaires la modlisation Le rapport a galement recours des scnarios visant
de laccumulation des risques cyber doivent tre collectes quantifier les dommages pouvant rsulter de deux types
grande chelle. La collecte des donnes et leur mise dincidents cyber.
jour rgulire sont donc des lments cls pour mieux
comprendre lvolution de ce risque. Scnario 1: piratage dun fournisseur de
services informatiques cloud
Approfondir la comprhension du
Un groupe sophistiqu de hackers militants dcide de
cumul des risques cyber perturber lactivit de prestataires de services informatiques
Ce rapport est destin amliorer la comprhension des cloud et celle de leurs clients pour attirer lattention sur
assureurs et des risk managers en matire de limpact environnemental des entreprises et de lconomie
responsabilit et dagrgation des risques cyber. Il permet moderne. Le groupe modifie de faon malveillante un
danalyser le cumul travers le prisme de six tendances hyperviseur qui contrle linfrastructure cloud. Cet acte
contribuant la vulnrabilit numrique. Comprendre ces se traduit par une panne de nombreux serveurs clients
tendances est primordial pour matriser lagrgation des hbergs et par une interruption gnralise des services et
risques cyber. de lactivit.

Ces tendances sont les suivantes: Scnario 2: attaque ciblant une faille
gnralise
1. Volume de contributeurs: le nombre de personnes
dveloppant des logiciels a augment de faon Dans un train, un cyberanalyste oublie son sac qui contient
significative au cours des trente dernires annes. la copie papier dun rapport sur une faille affectant
Chaque contributeur peut potentiellement rendre le lensemble des versions dun systme dexploitation utilis
systme plus vulnrable en raison du risque derreur par 45 % du march mondial. Mis en vente sur le dark web,
humaine. ce document est achet par un nombre indtermin de
malfaiteurs non identifis qui dveloppent des exploits a
2. Volume de logiciels: outre le nombre croissant de systme et lancent des attaques sur des entreprises
personnes susceptibles de modifier le code des vulnrables en vue dun gain financier.
logiciels, le nombre de logiciels crs est galement en
augmentation. Plus de code signifie davantage derreurs
potentielles et, en consquence, plus de vulnrabilit.

3. Logiciel libre: le mouvement du logiciel libre et ouvert


(open-source software) a abouti de nombreuses
initiatives innovantes. Cependant, un grand nombre de
bibliothques libres sont mises en ligne et, bien quelles
soient supposes faire lobjet de contrles en termes de
fonctionnalit et de scurit, ce nest pas toujours le
cas. Toute erreur introduite dans le code primaire peut
tre involontairement rpercute dans les itrations a
Le terme exploit dsigne lutilisation dun lment de programme
suivantes. (logiciel, donnes ou commande) dans le but dexploiter une faille
prsente dans un systme dexploitation ou un logiciel, des fins
malveillantes.
Evaluer les cots: lexposition au risque cyber dcode
Synthse 05

Lorsque les primes du march estimes actuelles sont


Rsultats cls values par rapport aux estimations de perte prvues
Le rapport met en vidence cinq constatations majeures: par les scnarios dassurance cyber prsents dans ce
rapport, il apparat quun seul incident cyber peut
Les impacts conomiques directs des incidents cyber accrotre le ratio sinistres-primes du secteur de 19% et
peuvent entraner un grand nombre de prjudices 250% respectivement, en cas de pertes importantes et
conomiques. Concernant le scnario relatif au majeures. Cela illustre le potentiel catastrophique du
dysfonctionnement des services informatiques cloud, risque cyber.
mentionn prcdemment dans ce rapport, ce type de
dommages stend de 4,6 milliards dUSD pour un
incident important, 53,1 milliards pour un incident
Conclusion
majeur. Dans le scnario dune faille logicielle La demande en assurance cyber augmente mesure que la
gnralise, les pertes moyennes schelonnent entre menace cyber progresse.
9,7 milliards dUSD pour un incident important et
28,7 milliards pour un incident majeur b. Malgr cette progression, la comprhension par les
assureurs des questions de responsabilit et de cumul des
Les pertes conomiques pourraient tre nettement risques en matire de cyberscurit est un processus de
infrieures ou suprieures la moyenne calcule dans longue haleine qui volue avec lexprience quils
les deux scnarios, leur montant global tant difficile acquirent. Aussi, il est crucial que la comprhension du
dterminer prcisment. Ainsi, alors que les pertes risque, y compris les calculs de primes techniques et les
moyennes dans le scnario de dfaillance des services modles de capital, garde le rythme face lvolution
informatiques cloud slvent 53,1 milliards dUSD constante de la base de connaissances relative au risque
pour un incident majeur, elles pourraient atteindre cyber.
121,4 milliards ou se limiter 15,6 milliards dUSD c en
fonction, notamment, des entreprises concernes et de Dans dautres branches dassurance, les assureurs ont
la dure dindisponibilit des services. dvelopp une meilleure comprhension en matire de
responsabilit et dagrgation des risques. Par exemple, il
Les attaques cyber peuvent gnrer un montant assur est largement admis que les catastrophes naturelles sont
svaluant en milliards de dollars. Dans le cas du susceptibles de donner lieu de multiples dclarations de
scnario de dfaillance des services informatiques sinistres manant de nombreux assurs, participant ainsi
cloud, par exemple, le montant assur est compris entre laugmentation considrable du cot des sinistres pour les
620 millions dUSD pour une perte importante et assureurs. Les polices dassurance couvrant les
8,1 milliards pour une perte majeure. Dans le cas du catastrophes naturelles tiennent gnralement compte de ce
scnario dune faille logicielle gnralise, le montant fait et la rassurance est alors communment utilise afin
assur est compris entre 762 millions dUSD (perte de rduire limpact du cumul des risques.
importante) et 2,1 milliards (perte majeure).
Les rsultats du rapport indiquent que les pertes
conomiques rsultant dincidents cyber peuvent tre aussi
Les scnarios rvlent un dficit dassurance compris
consquentes que celles engendres par les ouragans les
entre 4 milliards dUSD (perte importante) et 45 milliards
plus dvastateurs. Considrer lassurance cyber en ces
(perte majeure), en ce qui concerne le scnario de
termes et anticiper de faon explicite limpact des
dfaillance des services informatiques cloud, les pertes
catastrophes lies la cyberscurit pourrait constituer un
conomiques tant couvertes hauteur de 13% et 17%
rel avantage pour les assureurs. Pour y parvenir, la
respectivement. Pour le scnario de la faille logicielle
collecte des donnes et le niveau de qualit de ces
gnralise, le dficit dassurance est compris entre
dernires sont des lments primordiaux, dautant plus que
8,9 milliards dUSD (perte importante) et
les risques cyber voluent sans cesse.
26,6 milliards (perte majeure), seuls 7% des pertes
conomiques tant couverts.
Afin que le secteur de lassurance puisse capitaliser sur le
march en pleine croissance de la cyberscurit, les
assureurs pourraient tirer avantage dune meilleure
comprhension du risque volatile, implicite dans le domaine
b
Les chiffres cits reprsentent le montant moyen des pertes estimes de lassurance cyber.
sur une priode dun an en cas dvnement important ou majeur. Ils
Les risk managers peuvent utiliser les scnarios de
tiennent compte de lensemble des dpenses directes attendues lies
cyberscurit afin denvisager les impacts des attaques
ces vnements. Les consquences de type dommages aux biens,
cyber sur leurs principaux processus oprationnels et mettre
atteintes corporelles ou encore pertes indirectes, notamment la perte de
en uvre les actions ncessaires pour limiter ces risques.
clients et latteinte la rputation, ne sont pas prises en considration.
c
Lintervalle de confiance pour ces exemples est de 95 %. Valeur
considre comme estimation fiable pour la prise en compte des
paramtres connus et inconnus.
Evaluer les cots: lexposition au risque cyber dcode
Synthse 06

Rfrences

Graham, L. 2017. Cybercrime costs the global economy $450 billion [en ligne] (La cybercriminalit cote 450 milliards dUSD
lconomie mondiale). CNBC Cyber Security. Consultable sur : http://www.cnbc.com/2017/02/07/cybercrime-costs-the-global-
economy-450-billion-ceo.html

PwC. 2015. Insurance 2020 & beyond: Reaping the dividends of cyber resilience [en ligne] (Lassurance en 2020 et au-del :
rcolter les fruits de la cyberrsilience). Consultable sur : http://www.pwc.com/gx/en/insurance/publications/assets/reaping-
dividends-cyber-resilience.pdf

Stanley, C. 2017. valuation du march de la cyberassurance (Interview du 26 juin avec Christian Stanley, Casualty
Executive, Class of Business Underwriting Performance, Lloyds).

Evaluer les cots: lexposition au risque cyber dcode