Est-ce que FAIR est un modèle de valeur à risque (VaR)?

Il arrive que les plus mathématiciens des responsables des risques que nous rencontrons se posent la question suivante: Est-ce que FAIR est un modèle de valeur à risque (VaR)?

Il s’agit le plus souvent des responsables de la gestion des risques qui possèdent une grande expérience des risques de crédit, des risques opérationnels et des risques de marché, et qui sont d’abord exposés à FAIR comme étant un modèle standard de Cyber ​​VaR.

(En savoir plus: Qu'est-ce qu'un modèle Cyber ​​Value-at-Risk?)

Dans cet article, nous tenterons de répondre à cette question et d’examiner certaines des sources de confusion les plus courantes.

Christophe Forêt

Un article de

Christophe Forêt
Président et co-fondateur de C-Risk
Publié le
May 28, 2023
mis à jour le
May 28, 2023
temps
min
modele var crisk

Les différents risques

La structure mathématique fournit les informations sous-jacentes aux idées abstraites. Le modèle de risque FAIR est structuré de manière à mesurer et à gérer le risque lié à l’information (et à l’exploitation), qui ressemble à la valeur en jeu ou à risque. Cependant, cette déclaration a semé la confusion, la réputation de la VaR reposant sur des probabilités à court terme utilisant des données quotidiennes sur les rendements financiers. Bien qu'il existe des différences dans les données disponibles entre la cyber sécurité et la finance, nous devons examiner la structure mathématique sous-jacente de la VaR pour bien comparer.

Nous commençons par examiner le risque défini et modélisé dans le cadre des accords de Bâle II par le Comité de Bâle sur le contrôle bancaire. En vertu des accords de Bâle II, publiés en 2004, qui remplaçaient les accords de 1988, l'un des trois piliers de la conception concerne le maintien du capital réglementaire calculé pour les trois principales composantes du risque auquel les banques sont confrontées:

  1. risque de crédit,
  2. risque opérationnel
  3. risque de marché (les autres risques étant jugés non quantifiables).

Dans le risque opérationnel, il existe trois approches différentes:

  1. approche des indicateurs de base,
  2. approche de la normalisation et
  3. approche de mesure interne

Ce dernier est une forme de l’approche de mesure avancée (AMA – Advanced Measurement Approach). Ces méthodes deviennent de plus en plus complexes, l’AMA étant la plus avancée des trois. En vertu de l'AMA, les banques sont autorisées à développer leur propre modèle empirique interne, l'approche par répartition des pertes (LDA – Loss Distribution Approach) étant l'approche la plus courante dans le secteur bancaire.

Dans le document de consultation: Aperçu de la nouvelle convention de Bâle de janvier 2001, le Comité de Bâle sur le contrôle bancaire a défini la méthode de mesure interne comme étant «un indicateur d'exposition au risque opérationnel plus des données représentant la probabilité qu'un événement de perte se produise et les pertes subies lors d’un tel événement. "

LDA développe cette approche en construisant une distribution des pertes représentant les pertes totales attendues, une distribution de fréquences décrivant le nombre d'événements de pertes et une distribution de gravité décrivant le montant des pertes d'un événement de perte unique. La convolution de ces fonctions (distributions) donne lieu à la distribution annuelle des pertes. C'est ce que FAIR fait, car le modèle est utilisé en conjonction avec les simulations de Monte Carlo.

Intéressé par le modèle VAR ?

Vous souhaitez discuter avec des experts en cybersécurité ? Découvrez C-risk et ses services de Cyber RIsk Quantification

Dans LDA, la sortie est une mesure de type VaR. Nous devons noter qu'il existe différents calculs de la VaR. Dans le contexte du risque de marché, la variance-covariance d une simulation de Monte Carlo est souvent la première mesure de la VaR utilisée par une banque ou un établissement financier. La méthode capture les avantages de la diversification d'un portefeuille multiproduits grâce à la matrice de coefficients de corrélation utilisée dans le calcul. Ainsi, si deux titres d'un portefeuille ont une corrélation négative, ils se déplacent en sens opposé et la VaR indiquerait un risque moins élevé.

Quel que soit le point de départ du modèle FAIR, les calculs sont identiques à ceux de l’approche LDA financière commune, annulant ainsi toute différence méthodologique.

Les modèles actuels de cyber-risque utilisent une méthode globale, mais à mesure que les ensembles de données deviennent facilement accessibles, l'exactitude et la précision augmenteront tandis que la période de risque diminuera par rapport aux perspectives annuelles, permettant à FAIR de ressembler à la VaR de risque marché.

Ainsi, FAIR reflète assez bien la LDA utilisée pour mesurer le risque opérationnel dans les établissements financiers et les banques, même s’il subsiste des différences entre ces deux mesures de type VaR que sont FAIR et LDA.

Globalement, lorsque le modèle de risque FAIR est utilisé dans des solutions de quantification de cyber-risque telles que RiskLens intégrant des simulations Monte Carlo, vous pouvez toujours le décrire sous la forme d'un modèle Cyber ​​VaR qui devrait constituer un point de référence utile pour les dirigeants ou les responsables de la gestion des risques qui sont par ailleurs familiarisés avec les concepts de la VaR.

Si vos collègues d'Enterprise Risk Management souhaitent approfondir leurs connaissances, dirigez-les vers l'article sur la cyber-VAR ainsi que dans le livre FAIR: Mesurer et gérer les risques liés aux informations: une approche FAIR.

Justin Theriot est Data Scientist chez RiskLens, conseiller technique du FAIR Institute. L’original de cet article est paru en anglais sur le blog du FAIR Institute le 30 mai 2018

Dans cet article
Utilisez la CRQ pour une meilleure prise de décision

Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.

Articles associés

En savoir plus sur les cyber-risques, les attaques par ransomware, la conformité réglementaire et la cybersécurité.