Le point de vue d'un actuaire

Depuis une dizaine d'années, nous entrons dans une nouvelle ère du numérique : apparition des smartphones, émergence du traitement massif des données, réveil de l'intelligence artificielle, Internet des objets, voiture autonome…

Nous assistons à une rupture qui pose un défi aussi bien aux particuliers qu'aux entreprises dont les assureurs en raison des nouveaux outils qui entrent dans leur vie (ex : intelligence artificielle, traitement massif des données et robots) ainsi que des nouveaux risques qui apparaissent. L’un d'eux, le risque cyber prend de l’importance, au point de constituer une nouvelle branche de l’assurance.

Après m’être occupé du développement de systèmes d'information du commandement pendant une vingtaine d’années, aussi bien dans un contexte de R&D qu’en développement opérationnel, une certaine passion des chiffres m’a amené à terminer ma carrière comme actuaire. Dans mes missions, la modélisation a toujours occupé une place importante. Dans le cas du risque cyber, comme on le verra plus bas, et elle n’est pas seulement mathématique, la prise en compte d’une approche systémique rencontrée en ingénierie est importante.

En tant que matheux, j’aime bien résoudre des problèmes et j’apprécie particulièrement que les résultats fonctionnent. J’aime bien voir les choses aboutir. Le développement de projets dans le secteur de la défense m'a apporté une culture du travail bien fait. En effet, ce secteur, comme celui de l’aéronautique est fortement opérationnel et des vies humaines sont en jeu dans les systèmes qui sont mis en service. Même les réalisations en R&D se doivent d’être opérationnelles, c'est-à-dire aboutir à des résultats concrets et utilisables.

Lors de la modélisation d’un système, je vais commencer par comprendre de quoi on parle. La première qualité est l’écoute car le client – donneur d’ordre ou utilisateur – est mis à contribution. Idéalement, j’aime bien préciser avec lui ce qui devrait être fait et ce qui ne peut pas être fait. J’écris « idéalement » car, s’il est des situations où certains problèmes trouvent leur solution autour d’un verre, il en est d’autres où les contraintes de coûts et contractuelles rendent le dialogue plus difficile.

Mon premier outil vient de l’approche systémique rencontrée en ingénierie. Rappelons qu’un système est un ensemble d'éléments en interaction dynamique, organisé en fonction d'un but. Au moment de la rédaction de ces lignes, je m’aperçois qu’un article entier est consacrée à cette approche dans Wikipédia (la définition que je viens de donner en est tirée) et me rappelle que c’est un économiste, au demeurant expert des problèmes de sécurité des systèmes d’information, qui m’a sensibilisé à cette approche. C’est peut-être elle qui m’a donné la réputation d’être une personne résolvant des problèmes complexes.

C’est là que les hypothèses de base jouent un rôle essentiel. Nous jouons le rôle d’un physicien qui formule hypothèses et équations et qui prend le temps de les valider avec ses clients. Nous établissons le lien entre ce qui est observable, modélisable, prévisible et utilisable. Dans le cadre de développements opérationnels, nous connaissons l’importance des tests opérationnels ou des phases d’utilisation pilote pour des systèmes d’ingénierie (non seulement informatiques) pour valider les systèmes sur la base d’observations. En actuariat, les hypothèses sont tout aussi importances et permettent de cadrer les risques couverts.

De manière générale, toutes les fois que je suis confronté à un problème de modélisation, mon truc est d’abord de faire parler ensemble les gens et les nombres. A la fin, quand je sais de quoi on parle, alors, je peux me lancer dans une modélisation « scientifique » c’est-à-dire employant des techniques mathématiques, algorithmiques ou statistiques et financières – suivant le contexte de la modélisation en cours.

Je m’intéresse aussi aux enjeux géopolitiques ou sociétaux des systèmes. J'ai travaillé à la fin de la guerre froide, au moment du conflit entre l’Irak et le Koweït, des accords de Camps David. Même s'il sait s'y préparer, un officier supérieur n’aime pas faire la guerre. Son premier outil est le renseignement. N’oublions pas que l’un des premiers travaux d’un espion est de lire la presse. Parmi les facteurs de conflits entre pays, encore et toujours, la pauvreté, la misère et l'accès aux ressources, c’est-à-dire les considérations économiques et démographiques. Les assureurs sont quant à eux confrontés aux aspects sociaux liés à des couvertures de risques tels que la santé, la retraite, le chômage.

Depuis peu, les actuaires regardent de près les nouvelles technologies liées à l’intelligence artificielle, le big data, mais aussi la blockchain, les objets connectés ou les voitures autonomes qu’il faudra bien assurer. Personne ne pourra éviter les problèmes éthiques posés par ces nouvelles technologies, notamment leur impact sur la vie privée des individus. 

Le risque cyber prend actuellement de l'importance. On n’y rencontre pas seulement la malveillance classique, s'y ajoute aussi l'atteinte à la vie privée des individus et aux actifs immatériels des entreprises.

Je me trouve actuellement dans une situation où le marché de l'assurance du risque cyber pointe le nez depuis 3 ans mais a des difficultés à décoller. Il se heurte à de nombreux défis, qui touchent à la manière de couvrir des risques éventuellement catastrophiques pouvant toucher un site industriel, voire une région entière ou bien les effets de contagion qui peuvent être provoqués par les virus informatiques et affecter en peu de temps des millions d’utilisateurs. De plus, les risques cachés constituent une autre crainte. Il s’agit ici de risques – qui à priori n’ont rien à voir avec le cyber – mais qui peuvent s’amplifier avec l’apparition des objets connectés : un incendie provoqué par un équipement intelligent et connecté à distance. Les exemples ne manquent pas. 

La profession, tout au moins en Europe, manque de recul pour évaluer le coût réel des risques. Ainsi, à ce jour, le marché de l’assurance cyber est essentiellement un marché de courtiers qui jonglent entre l’ampleur des risques à couvrir et la nécessité de proposer des produits attrayants en termes de prix.

En Europe la mise en place du RGPD devrait permettre aux assureurs de disposer de premiers historiques dans les années qui viennent. Je pourrai alors m’intéresser aux problèmes de modélisations et prendre en compte les spécificités liées à ce risque le moment venu. Par exemple, pour les phénomènes catastrophiques des modèles à base de valeurs extrêmes, pour les phénomènes de contagions, des simulations « stochastiques ». Nous sommes dans des situations où les coûts des dommages peuvent être considérable.

La prévention jouera un rôle essentiel.  C’est là que l’approche systémique est importante. Le RGPD va jusqu’à parler de « security by design ». Actuellement plus de 50% des patrons de PME ne sont pas conscients des enjeux posés par les risques cyber, et ne sont donc pas prêt à investir dans la couverture du risque (assurance ou autre). A l’autre extrémité, des consultants suisses et israéliens savent qu’une menace n’apparaît pas d’un coup. Lorsqu’une société est attaquée, il s’écoule plusieurs semaines, voire plusieurs mois entre les premiers frémissements dans un système et l’attaque proprement dite.

Les vrais contrats de demain reposeront sur des clauses d’exclusions qui obligeront les entreprises à former leurs collaborateurs et mettre en place une prévention de qualité.

Au sein de XMP, il y a peut-être une offre à monter sur l'accompagnement des dirigeants pour les aider à affronter ce nouveau risque. Dans ce domaine, beaucoup reste à faire.

Herbert Groscot
Aout 2018
hgroscot@wanadoo.fr

Télécharger le PDF