Rencontres 2019
Le Marché est-il capable de faire face à
la complexité Cyber
10/02/2019 1
27
èmes
Rencontres du Risk Management AMRAE
Rencontres 2019
Présentation
10/02/2019 2
Intervenants
Modérateur
Jean BAYON DE LA TOUR
Cyber Development Leader –
Continental Europe
Christophe DELCAMP
Directeur adjoint
Direction des assurances de
dommages et responsabilité
Didier PARSOIRE SCOR Global P&C | P&C Partners
Chief Underwriting Officer, Cyber
Solutions
Philippe COTELLE
Head of Insurance Risk Management
Rencontres 2019
De quelle complexité parle-t-on ?
10/02/2019 3
Rencontres 2019
Complexite technique?
10/02/2019 4
Adresse IP
(IP Address)
Adresse URL
Attaque par saturation
(Denial of Service [DoS] Attack)
Balisage
(Beaconing)
Cheval de Troie
(Trojan)
Coupe-feu
(Firewall)
Cryptographie
(Cryptography)
Détournement de domaine
(Pharming)
Enregistreur de frappe
(Keystroke Logger)
Équipe d'intervention en cas d'urgence
informatique
(Computer Emergency Response Team [CERT])
Fournisseur de services Internet
(Internet Service Provider)
Hameçonnage
(Phishing)
Harponnage
(Spear Phishing)
Cloud Computing
Social engineering
Scareware
Spyware
Ransomware
Spoofing Browser
Botnet
Backdoor
LAN [Local Area Network
Virtual Private Network
Router
Operating System
Trolling
Adverse Persistant Threat
Vous me suivez?
Rencontres 2019
Une architecture digitale
imbriquée
10/02/2019 5
Advance Planning System (APS)
Enterprise Resource Planning (ERP)
Suppliers
Supplier
Relationship
Management
(SRM)
Manufacturing
Execution
System
(MES)
Supply Chain Execution (SCE)
Clients
Supply Chain Risk Management (SCRM)
Production
planning
Distribution
planning
Transport
planning
Needs
anticipation
Procurement
mgt
GPAO
Transport
mgt
Sales
admin.
Warehousi
ng mgt
(WMS)
Advance
order mgt
Sharing operational data
Transport
mgt (TMS)
Stock
mgt
© 2019 KYU Associés – All rights reserved
Rencontres 2019
Où commencer pour analyser
le risque digital?
•Enjeu est d’analyser le
risque dans ses 3
dimensions:
–Technique
–Juridique et réglementaire
–Stratégique
•Et sur toute l’entreprise
étendue
10/02/2019 6
Rencontres 2019
Analyse du courtier: 5 défis
1.Comprendre les enjeux
2.Quantifier les impacts
3.Comprendre les besoins de couverture
4.Présenter le risque aux assureurs
5.Gérer les sinistres
10/02/2019 7
Rencontres 2019
ALEA VULNERABILITE
des ENJEUX
RISQUE
R
e
-
A
S
S
U
R
E
U
R
S
Connaissance
Prévention /
Protection
La maîtrise des
cumuls
Prévision Quantification Garanties
Vue de l’assureur
Rencontres 2019
Une cartographie des garanties
9
Conséquences dommageables
SO SO
Cyber
Police
Fraude
RC ‘‘classiques’’
Altérations des
données et/ou au SI :
Perte de fichiers,
logiciel endommagé…
Incendies, dégâts des
eaux, explosion, bris de
machine….
Altérations des
données et/ou au SI
Perte de fichiers,
logiciel endommagé…
Dommages
matériels
Multirisques
DAB
‘‘classiques’’
Incendies, dégâts des
eaux, explosion, bris
de machine….
Fraudes :
•Faux ordres de
virement
•Cyberfraude …
Frais de
notification
RC / tiers
-DINC
-Corpo / mat
Erreur humaine Malveillance
Multirisques
DAB
‘‘classiques’’
Pertes
d’exploitation
Frais
informatiques
Rançons,
amendes,
pénalités
Faits générateurs Numériques
? Ou SO
SO
Rencontres 2019
Un travail sur les exclusions
10
Des clauses
d’exclusions claires
tant en RC qu’en
Dommages aux biens
Rencontres 2019
Vue par le Réassureur
Le Cyber-risque : un péril aux ramifications multiples
07/02/2019 11
Des vecteurs d’attaque et de risque nombreux et évolutifs mais aux
conséquences bien identifiables pour les entreprises
Source: SCOR
Rencontres 2019
Le risque Cyber est l’affaire de tous les souscripteurs (1)
07/02/2019 12
Les couvertures cyber affirmatives et non-affirmatives sont présentes
dans de nombreuses polices d’assurance au delà des purs produits cyber
Source: SCOR
Rencontres 2019
Le risque Cyber est l’affaire de tous les souscripteurs (2)
07/02/2019 13
Ces couvertures cyber se disséminent ensuite dans plusieurs types de
traités de réassurance
Source: SCOR
Rencontres 2019
Le péril Cyber possède toutes les caractéristiques pour
générer des cumuls de risque à haute intensité
07/02/2019 14
interconnectivité
Standardisation des
produits et services
Externalisation des prestations IT
Dépendance croissante vis-à-vis de l’IT
Infrastructures critiques
Acteurs dominants
Les ingrédients d’un impact à grande échelle Des évènements précurseurs
Power black-out
Ukraine – Dec 15
SWIFT Fraud – Feb 16
DYN DDOS – Oct 16
Wannacry Ransomware – May 17
NotPetya – June 2017
Millions USD
Milliards USD
Une modélisation du risque catastrophe
encore balbutiante
La difficulté à définir contractuellement
l’évènement pour les assureurs et réassureurs
Attribution de l’attaque très difficile
Chaine de causalité diffuse
Développement dans le temps
Impact potentiellement global sans frontières
géographiques
Une approche déterministe sur la base de
scénarios d’impact
Des modèles stochastiques encore à affiner
Difficulté à acquérir et à structurer
l’information nécessaire - standards à définir.
Couvertures non-affirmatives mal évaluées
Rencontres 2019
Comment répondre à cette
complexité ?
10/02/2019 15
Rencontres 2019
Mise en place d’une Gouvernance
10/02/2019 16
Rencontres 2019
Avoir un dialogue de qualité avec
l’assurance
10/02/2019 17
Rencontres 2019
2 aspects clés
10/02/2019 18
Une information de Souscription de
Qualité
Des Solutions d’Assurance Cyber
ADAPTEES
Rencontres 2019
Retour d’experience - courtier
1.Comprendre les enjeux – guerre des talents
2.Quantifier les impacts
–Modèles actuariels
–Missions de conseil
–Retours sinistres
3.Comprendre les besoins de couverture (RSSI / RM)
4.
5.
10/02/2019 19
Rencontres 2019
Retour d’experience - courtier
10/02/2019 20
1
st
party 3
rd
party
Tangible
Dommages aux biens
Cyber assurance
RC Générale
Autre
Dommage corp
Dommage mat
Fraude
Evt
Cyber
Rencontres 2019
Retour d’experience - courtier
1.Comprendre les enjeux – guerre des talents
2.Quantifier les impacts
–Modèles actuariels
–Missions de conseil
–Retours sinistres
3.Comprendre les besoins de couverture (RSSI / RM)
4.Présenter le risque aux assureurs
–Qualitatif vs quantitatif
5.Gérer les sinistres
10/02/2019 21
Rencontres 2019
Retour d’experience - courtier
Sinistres cyber - Principaux enseignements
–Quelques minutes pour se faire pirater, plusieurs
mois pour s’en remettre
–Gestion de la crise
–Expert d’assuré / évaluation du sinistre
–Période de carence PE : très difficile appréhender
–Analyse qualitative des assureurs
10/02/2019 22
Rencontres 2019
23
MEDEF
ANSSI
DG Trésor
ACPR
CNPP
IRT System X
OCDE
GAREAT
GIP ACYMA
Linéon
Airbus
Orange
AMRAE
PWC
Club des juristes
Ministère
de l’intérieur
Mieux connaitre le risque:
Des partenaires
Des livrables
Anticiper-et-minimiser-
cyber-risque-TPE PPM
Assurer-le-risque-cyber-quels-enjeux
Protection-des-donnees-personnelles
https://www.ferma.eu/preparing-cyber-
insurance?type=advocacy
Rencontres 2019
L’assurabilité amendes
L’observatoire du risque
Silent Cover
La quantification
La gestion des cumuls
Les normes / La
certification
Rencontres 2019
Comment voit on l’évolution possible
de ce marché ?
10/02/2019 26
Rencontres 2019
Evolution Historique du Tangible vers l’Intangible
1975 1985 1995 2005 2018
•IBM
•Exxon Mobil
•Proctor & Gamble
•GE
•3M
•IBM
•Exxon Mobil
•GE
•Schlumberger
•Chevron
•GE
•Exxon Mobil
•Coca-Cola
•Altria
•Walmart
•GE
•Exxon Mobil
•Microsoft
•Citigroup
•Walmart
Tangible Assets Intangible Assets
Tangible Assets vs. Intangible Assets for S&P 500
Companies, 1975 – 2018
$715 billion
Intangible: $122B
Tangible: $594B
$1.5T
Intangible: $482B
Tangible: $1.02T
$4.59T
Intangible: $3.12T
Tangible: $1.47T
$11.6T
Intangible:
$9.28T
Tangible:
$2.32T
$23.6T
Intangible:
$19.82T
Tangible:
$3.78
5 Largest Global
Companies by Market
Cap
•Apple
•Alphabet
•Microsoft
•Amazon
•Facebook
Source AON
Rencontres 2019
Marché de l’Assurance
suivra-t-il cette évolution?
28
Vers
De
Rencontres 2019
4 axes en 2019
29
1.Prime
2.Couvertures
3.Croissance de la ligne cyber
4.Sinistres majeurs
30
https://www.youtube.com/watch?v=IEAtGCkbq5Y
Rencontres 2019
CONCLUSION
10/02/2019 31
•Un CHALLENGE COMMUN
•UNE OPPORTUNITE
•UNE NECESSITE
•UNE URGENCE
Atelier C6 : Le Marché est-il capable de faire face à la complexité Cyber - Février 2019
Atelier C6 : Le Marché est-il capable de faire face à la complexité Cyber - Février 2019