Risque cyber : des modèles encore à l’état de brouillon

Explosion des attaques, complexité des impacts, rareté des données fiables… Le risque cyber reste un casse-tête pour les assureurs. Face à l’ampleur des sinistres potentiels, le secteur cherche à affiner ses modèles, encore largement immatures.

Un risque systémique et évolutif
Le risque cyber n’est plus un épiphénomène : il est devenu systémique. Les attaques par rançongiciel, le vol de données ou les pannes informatiques causées par malveillance affectent des entreprises de toutes tailles et de tous secteurs. En 2023, le coût moyen d’une cyberattaque dépassait les 4,5 millions de dollars dans le monde (source : IBM), et certains sinistres majeurs dépassent désormais les capacités individuelles de souscription.
Problème : la modélisation actuarielle du risque cyber reste lacunaire. À la différence des catastrophes naturelles ou de l’automobile, les données historiques sont rares, les scénarios peu reproductibles, et la nature des attaques en constante évolution. Comment modéliser un risque qui change tous les six mois, souvent masqué par la confidentialité des victimes ?

Une collecte de données encore trop fragmentaire
Le principal défi est l’accès aux données fiables et exploitables. Beaucoup d’entreprises victimes d’attaques ne les déclarent pas (ou très partiellement), ce qui empêche la constitution de bases statistiques robustes. Les assureurs doivent donc travailler avec des jeux de données incomplets, hétérogènes, voire biaisés.
Certaines initiatives émergent, comme l’Observatoire du risque cyber porté par la Fédération France Assureurs ou les travaux conjoints d’acteurs spécialisés (Cybermalveillance.gouv.fr, Anssi, Cnil, startups de cybersécurité…). Mais le partage d’information reste timide, notamment en raison de la crainte de réputation ou du secret industriel.

De nouveaux outils pour des scénarios dynamiques
Pour mieux modéliser le risque, les assureurs explorent des approches nouvelles, mêlant data science, cartographie des interconnexions entre entreprises, et scénarios systémiques. Objectif : construire des modèles de type « what if » capables d’anticiper les effets dominos (ex. : attaque sur un fournisseur SaaS touchant des milliers de clients).
L’enjeu est d’alimenter ces modèles avec des indicateurs de vulnérabilité, comme les pratiques de cybersécurité internes, la fréquence des mises à jour logicielles, ou l’exposition aux tiers. Des entreprises comme Moody’s, Kovrr ou Munich Re développent des risk scores ou des simulateurs basés sur l’IA et les analyses comportementales.
Mais la standardisation manque encore. Faute de taxonomie commune, les assureurs peinent à comparer les expositions ou à agréger les données utiles. Et côté assurés, les questionnaires restent souvent trop déclaratifs pour refléter la réalité du risque.

Vers une mutualisation du savoir cyber ?
Face à cette impasse, plusieurs experts plaident pour une approche mutualisée du risque cyber, à l’image des pools nationaux sur le risque terroriste ou nucléaire. En France, l’idée d’un « cyber pool » a été évoquée par France Assureurs, mais reste encore au stade de réflexion.
En attendant, les réassureurs jouent un rôle clé dans le soutien des capacités, mais réclament eux aussi davantage de transparence sur les données et les scénarios de stress. À défaut de mieux modéliser le risque, certains acteurs préfèrent limiter fortement leur exposition, voire se retirer du marché.

Le risque cyber est aujourd’hui le maillon faible de la chaîne assurantielle : trop volatile, trop opaque, trop asymétrique. Si le secteur veut rester pertinent face à ce péril majeur, il devra inventer de nouvelles méthodes de modélisation, plus collectives, plus transparentes, et plus dynamiques. Faute de quoi, le risque cyber restera inassurable… et non indemnisé.