Risque Cyber… 3 questions à Caroline Hillairet
Caroline Hillairet, pouvez-vous vous présenter ? Quelle fonction exercez-vous actuellement ?
Depuis 2015, je suis professeure à l’ENSAE et responsable de la formation actuariat. Je suis membre du laboratoire de finance et assurance du CREST.
Mes thèmes de recherche principaux concernent d’une part la modélisation du risque cyber, et d’autre part des risques financiers, notamment liés à la longévité. Je suis co-porteur de l’Initiative de Recherche « Cyber-insurance: actuarial modeling » (avec Olivier Lopez), financée par le Fonds AXA pour la Recherche (AXA GRM – Ensae IP Paris – Sorbonne Université – Fondation du Risque). Précédemment, j’ai été maitre de conférence au Centre de Mathématiques Appliquées de l’Ecole Polytechnique, de 2005 à 2015.
Par ailleurs je suis membre du conseil d’administration de l’Institut des Actuaires depuis novembre 2020.
Quels sont aujourd’hui les enjeux du risque cyber pour les acteurs assurantiels ?
La croissance de l’économie digitale (d’autant plus exacerbée par la crise du Covid 19) a apporté de profondes transformations dans la plupart des secteurs économiques. Celles-ci ont modifié la cartographie des risques encourus par les entreprises, notamment les risques informatiques. En quelques années, le Cyber Risque est apparu comme l’une des menaces principales pesant sur les entreprises. A titre illustratif, le nombre de sinistres remontés à l’ANSSI a augmenté de 400% entre 2019-2020, et aucun secteur n’est épargné.
Face à ce nouveau risque, les compagnies d’assurances ont un rôle central à jouer pour la résilience du système, à la fois en terme de protection financière mais aussi d’accompagnement et de mise en place de bonnes pratiques numériques. La mise à disposition de produits d’assurance directement liés au risque cyber contribue à doter le secteur industriel et économique de contre-mesures. La cyber-sécurité physique, chargée de prévenir ou de limiter les dégâts causés aux systèmes d’information, est complétée par un éventail de garanties qui viennent apporter réparations financières, conseils et mesures d’accompagnement des victimes – de la part des assureurs. Puisqu’aucun système ne peut être considéré comme totalement imperméable aux attaques et aux défaillances, il faut donc considérer cette protection économique comme un outil essentiel de la cyber-défense.
Cependant, l’évaluation de ce risque nouveau et la quantification de son impact économique sont rendues d’autant plus complexe par l’évolution permanente et rapide du risque. Cette évolution est technologique, mais aussi comportementale : dans cet éco-système en constante redéfinition, hackers, usagers, et acteurs de la protection modifient sans cesse leurs pratiques, tandis que leur conscience même du risque évolue.
La difficulté pour évaluer le risque cyber réside principalement dans le fait que les données historiques, utilisées pour analyser statistiquement le risque, sont pour l’instant peu nombreuses, très hétérogènes en terme de qualité, et particulièrement délicates à collecter. En effet, tout laisse à penser qu’une part importante d’information est cachée, soit parce que les victimes peuvent être réticentes à communiquer qu’elles ont subi une attaque cyber, (inquiètes par l’impact que cette divulgation pourrait avoir sur leur réputation), soit parce que certains sinistres peuvent passer en dehors des radars des entreprises elles-mêmes.
L’évaluation actuarielle du risque cyber nécessite une modélisation fine et robuste du risque, ainsi que la constitution de bases de données fiables sur lesquelles calibrer ces modèles. L’enjeu est de taille, car faute de capacité à modéliser et à anticiper le coût de tels événements, la question de leur assurabilité se pose. La construction de modèles adaptés est donc un enjeu scientifique et sociétal important.
Pourquoi avez-vous accepté d’intervenir dans le programme de formation de l’IRM ?
En tant qu’actuaire et enseignant chercheur, j’ai pour aspiration de diffuser/faire partager les résultats de mes recherches sur ces sujets au sein de la communauté actuarielle. D’autant plus, sur ce thème important : le cyber risque, puisqu’il est devenu un enjeu majeur pour la société toute entière (comme expliqué précédemment). L’Institut du Risk Management a véritablement vocation à former sur cette thématique car il propose déjà des formations de pointe sur des sujets actuariels d’actualité. L’objectif de cette formation est d’apporter aux stagiaires des éléments concrets pour une meilleure compréhension du risque cyber, étape indispensable pour proposer une meilleure protection, une meilleure mutualisation du risque, et donc plus de résilience du système face à ce risque nouveau et en perpétuel changement.
Merci Caroline Hillairet pour avoir répondu à nos questions !
Vous souhaitez intégrer la prochaine session de formation « La gestion des risques cyber de la prévention à la couverture assurantielle » ?
Les inscriptions sont en cours.
En bref :
3 journées de formation (21 heures) : du mercredi 1er au vendredi 3 décembre 2021
Validation de 126 points PPC
Plus d’information et modalités d’inscription