Depuis quelques années, les entreprises subissent davantage de cyberattaques. Celles-ci peuvent causer des dommages importants et menacer le secteur financier. Pour échanger et discuter sur les risques cyber, en tant que possible risque systémique, le programme de recherche interdisciplinaire FaIR (Finance and Insurance Reloaded) de l’ILB, en collaboration avec plusieurs partenaires (ACPR, AEFR, Institut des actuaires), ont organisé un webinaire, qui s’est déroulé le 7 décembre dernier.

« Avec la digitalisation de l’économie, les cyberattaques sont de plus en plus fréquentes et coûteuses. En 2020, les pertes engendrées par le cybercrime ont été estimées à 1 trillion de dollars (mille milliards), soit plus de 1 % du PIB mondial. Le Comité européen du risque systémique a récemment caractérisé la cybersécurité comme un risque systémique pour le système financier de l’Europe. Mais, malgré ces préoccupations grandissantes, les risques cyber ont une couverture limitée par le secteur assurantiel et il y a un besoin de développer des régulations micro et macro prudentielles. Les défis sont très importants. Le premier est relatif aux manques de données sur la survenue des cyberattaques, ce qui limite les possibilités de quantifier précisément les risques et de développer des tarifications probabilistes. Un deuxième challenge concerne l’assurabilité des risques cyber par le secteur de l’assurance », a déclaré, en guise d’introduction, Marie Brière, responsable du Centre de recherche aux investisseurs chez Amundi et directrice scientifique du programme interdisciplinaire Finance and Insurance Reloaded.

 

Les risques cyber affectent les performances boursières

Après cette mise en contexte, Hélène Rey, professeur à la London Business School, a présenté son dernier article de recherche sur le sujet, intitulé « The Anatomy of Cyber Risk ». Ces travaux – coécrits avec deux autres chercheurs, Rustam Jamilov et Ahmed Tahoun – ont notamment été motivés par plusieurs facteurs : l’exposition constante et grandissante des entreprises aux risques cyber, l’attention et l’inquiétude des autorités macroprudentielles sur cette question, le manque de connaissance sur ces risques en raison de l’absence d’obligation de les reporter ou encore la sous-estimation des risques cyber.

Les chercheurs ont ainsi décortiqué le contenu des échanges effectués lors des présentations des résultats trimestriels de 12 000 entreprises cotées dans 80 pays sur une période de 20 ans. À partir d’une analyse textuelle effectuée à l’aide d’algorithmes contenant certains mots clés, ils ont catégorisé et contextualisé chaque type de discussion sur les risques cyber, afin d’en dégager un sentiment positif ou négatif. Et les résultats de ces travaux sont sans appel : « L’exposition aux risques cyber progresse vite. Lors des présentations des résultats trimestriels, les discussions sur ce sujet ont été multipliées par cinq en 15 ans », a souligné Hélène Rey.

Par ailleurs, dans l’échantillon étudié, les cibles les plus à risque sont « des grandes entreprises dont les titres sont liquides avec une large part d’actifs immatériels », a précisé la chercheuse. Les secteurs les plus touchés sont l’industrie et les services, mais le secteur financier, en particulier les assureurs, est de plus en plus concerné par les cyberattaques. Quid des effets sur les performances en Bourse ? « Les entreprises touchées par des cyberattaques subissent des baisses de leur cours boursier, qui se répercutent aux sociétés du même secteur », a observé Hélène Rey, qui n’a pas constaté de contagion boursière à d’autres secteurs. Plus globalement, ces travaux scientifiques – qui vont se poursuivent – concluent que l’impact systémique total induit par les risques cyber est sous-estimé.

 

Les risques cyber peuvent s’accumuler

Après la présentation d’Hélène Rey, le webinaire s’est poursuivi par l’intervention de Caroline Hillairet, professeur à l’ENSAE Paris puis celle d’Olivier Lopez, professeur à la Sorbonne Université, qui sont également responsables scientifiques du programme de recherche Cyber Insurance risk: actuarial modeling.

« Les cyberattaques peuvent prendre différentes formes et engendrent des pertes énormes sur des cibles variées (pays, entreprises, particuliers). Le risque cyber augmente fortement en France : les signalements de rançongiciels à l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) ont été multipliés par trois entre 2019 et 2020 », a déclaré Caroline Hillairet, qui a mis en garde sur les dangers des risques cyber pour le principe de mutualisation du secteur assurantiel. Pour ne rien arranger, l’Association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE) a publié, en mai 2021, un rapport intitulé « LUmière sur la CYberassurance – LUCY », qui confirme la hausse des sinistres cyber subis auprès des entreprises françaises couvertes par une assurance cyber entre 2019 et 2020. Sur cette période, le volume des primes a bondi de 49 % et le ratio des sinistres sur primes a atteint 167 % en 2020, contre 84 % l’année précédente. Des chiffres élevés, qui affectent la rentabilité des assureurs.

Ensuite, les deux chercheurs ont présenté une partie de leurs travaux consacrés au risque d’accumulation de sinistres cyber pour le secteur de l’assurance. Sans rentrer dans des détails trop techniques, ils ont développé des modèles de contagion, basés sur le processus de Hawkes, comprenant des effets de réseaux pour quantifier le risque d’accumulation de sinistres cyber, susceptible de fragiliser les acteurs de l’assurance. « Avec ces modèles, nous pouvons classer et identifier les secteurs les plus risqués, quantifier le pic des sinistres pour déterminer le nombre d’entreprises titulaires d’une police d’assurance ayant besoin d’assistance technique, diversifier les risques contenus dans les portefeuilles des assureurs et identifier les bénéfices procurés par une protection », a expliqué Olivier Lopez.

Enfin, ce webinaire s’est clôturé par une table ronde intitulée « The Challenges of Measuring, Insuring and Regulating Cyber-risks », modérée par Aimé Lachapelle (Managing Partner, Emerton Data) avec les intervenants suivants : Philippe Cotelle (Head of Cyber-Insurance Management, AMRAE), Caroline Hillairet (ENSAE-CREST), Olivier Lopez (Sorbonne Université), Olivier Meilland (Deputy Director, Cross-functional and specialized supervision, ACPR), Luc Vignancour (International Underwriter Cyber and Executives Risks, BEAZLEY Group).

 

Pour visionner le replay de cet évènement, cliquez ici.