Interview avec Stoïk, l'assurtech de la cyber assurance

Publié par Théophile Robert le 28/01/2022 à 15:03 , Mis à jour le 29/11/2022 à 14:16

Avec la crise, les cyberattaques se sont démultipliées et personne n'est épargné : PME, grandes entreprises et institutions sont fréquemment cibles d'attaques informatiques. Et les PME en particulier ne sont guère assurées contre ce risque.

Stoïk, après avoir réalisé une importante levée de fonds, a donc décidé de se lancer sur ce marché en proposant une solution alliant logiciel de sécurité et assurance cyber. C'est d'ailleurs le premier acteur à proposer ce genre de formule. Jules Veyrat, co-fondateur et CEO de la start-up, nous en dit plus au cours d'une interview.

Comment expliquer la recrudescence des cyberattaques depuis le début de la crise ?

L'explication la plus simple est celle du télétravail, à cause d'une mauvaise sécurisation des connexions à distance. En effet, de plus en plus de collaborateurs doivent se connecter à distance, donc les entreprises doivent mettre en place des systèmes pour qu'ils puissent se connecter. Et plus il y a de connexions à distance, plus les attaquants ont de portes d'entrée si les barrières de sécurité ne sont pas bien mises en place.

Est-il possible de se protéger facilement contre ces attaques ?

Avec Stoïk, nous accompagnons les entreprises et il y a pas mal de démarches qui peuvent être mises en place. Je prends un exemple précis et qui est de l'ordre d'une politique d'entreprise : pour accéder à distance à des données sensibles, il est de loin préférable qu'une entreprise impose plusieurs facteurs d'authentification pour se connecter. C'est une pratique qui peut paraître assez évidente, mais elle sécurise énormément les systèmes informatiques parce qu'elle permet qu'un simple phishing ne suffise plus à se connecter.

Qu'est-ce qui rend les ransomwares si populaires ?

Un ransomware est un virus qui peut être utilisé par n'importe quel individu, même s'il n'a aucune compétence en informatique. De plus, le modèle économique du ransomware est très intelligent. Et plus ils fonctionnent, plus ils sont amenés à se développer. Plus des entreprises paient les rançons, plus cela donne des moyens financiers aux pirates pour développer des attaques encore plus poussés.

C'est pour cela qu'il ne faut jamais payer les rançons et que les assureurs ne doivent pas les rembourser. C'est autant notre position que celle de l'ANSSI, ou encore de l'État. 

Quels sont les types de cyberattaques qui risquent d'augmenter dans les années à venir ?

Il faut d'abord bien différencier le vecteur d'attaque du type d'attaque. D'un côté, il y a la façon dont les attaquants entrent dans un système informatique et de l'autre ce qu'ils y font. Pour ce deuxième aspect, c'est toujours les mêmes types de problèmes : les attaquants font fuiter une donnée, la récupèrent, ou ils bloquent le système informatique. Suite à cela, ils peuvent demander une rançon ou même ne rien demander, si l'attaque a été effectuée simplement par plaisir de nuire.

Pour l'autre aspect, le vecteur d'attaque, on touche à la grande problématique de la cybersécurité et de la cyber assurance. Nous sommes dans un jeu du chat et de la souris en permanence. Les directeurs des systèmes d'information (DSI) bouchent les portes une par une et essaient de se protéger, tandis que les attaquants trouvent constamment de nouvelles failles à exploiter. On ne sait donc pas quelle seront les failles dans deux ans. On sait par contre qu'il y en aura une nouvelle parce que les attaquants cherchent de nouvelles méthodes en permanence.

Le risque cyber a quelque chose de bien particulier : son évolution permanente, qui le rend par essence difficile à maîtriser. Aujourd'hui on manque de recul et de données pour bien appréhender les types d'attaques et leur impact sur les entreprises. Mais il est aussi possible que dans les mois ou années à venir nous manquions toujours de données car les attaques auront évolué. Ce risque est par conséquent très volatil. C'est également cela qui le rend si intéressant d'un point de vue technique et assurantiel.

Le risque cyber est relativement nouveau. Son apparition est-elle unique dans l'histoire ?

Le risque cyber a quelque chose de bien particulier : son évolution permanente, qui le rend par essence difficile à maîtriser. Cela rejoint ce que je disais avant : aujourd'hui on manque de recul et de données pour bien appréhender les types d'attaques et leur impact sur les entreprises. Mais il est aussi possible que dans les mois ou années à venir nous manquions toujours de données car les attaques auront évolué. Ce risque est par conséquent très volatil. C'est également cela qui le rend si intéressant d'un point de vue technique et assurantiel.

Mais alors, comment indemniser un risque cyber si l'on a du mal à estimer son impact ?

Si l'on va sur le relevé d'assurance d'une entreprise, il y a des postes de dépense clairement identifiables pour l'indemnisation. Toutes les conséquences d'une attaque cyber ne sont pas identifiables, je pense notamment à l'impact sur la notoriété. Mais les trois postes principaux d'une assurance cyber dans l'indemnisation sont :

  • la gestion de la crise : c'est le coût de prestataires qui interviennent pour aider à faire en sorte que la crise ait le moins d'impact possible pour l'entreprise, avec des experts techniques, juridiques et en communication de crise ;
  • les conséquences d'une fuite de données : à partir du moment où les données fuitent, l'entreprise a des postes de coûts directs, notamment en ce qui concerne sa responsabilité civile professionnelle (un client peut exiger réparation pour la fuite de ses données, par exemple) ;
  • les conséquences d'une interruption du système informatique : il va y avoir les coûts de remise en état du système informatique et la perte d'exploitation.

Il faut donc s'assurer contre le risque cyber, car de gros postes de dépenses sont pris en charge, mais in fine, il faut tout faire pour que l'attaque n'arrive pas en raison des conséquences qui ne peuvent pas être pris en charge.

Comment se situent l'Europe et la France en termes de protection contre les cyberrisques ? Qu'en est-il par rapport aux États-Unis et à la Chine ?

Cela est plus difficile à dire pour le marché asiatique, mais il est certain que le marché américain a 10 ans d'avance sur le marché européen. À l'échelle de l'Europe, la France fait partie des meilleurs élèves en termes d'assurance et de sécurité. Mais aux États-Unis, il y a une plus grande maturité, beaucoup plus d'acteurs en sécurité et en cyber assurance. Il y a surtout une mentalité beaucoup plus friande de la logique de l'assurance. Aux États-Unis, lorsqu'on voit un risque qui peut coûter très cher, s'assurer est évident. En France, on met plus de temps à se rendre à l'évidence que c'est un risque contre lequel il faut s'assurer.

Pourquoi les assureurs sont-ils si frileux à proposer des assurances cyber ?

Aujourd'hui, on manque en France et en Europe de recul et de données à propos du risque cyber. On a du mal à estimer les espérances de pertes en fonction des profils d'entreprise. Les assureurs sont si frileux parce qu'ils n'ont pas le bagage technologique pour auditer et comprendre le vrai niveau de risque des entreprises qu'ils doivent assurer. Ils ont une logique qui est la même que pour l'habitation ou d'autres produits d'assurance, une logique déclarative où l'on coche des cases. Sauf que pour un risque informatique, il faut des compétences informatiques avancées. Sans ces compétences, on ne peut pas comprendre le risque cyber. Il manque donc aux assureurs traditionnels les outils pour bien comprendre ce risque.

Un rapport de l'Association pour le Management des Risques et des Assurances de l'Entreprise (AMRAE) en 2020 pointait notamment que le ratio sinistre/prime était de 162 % pour les assureurs. Autrement dit, ils ont perdu beaucoup plus en indemnisations qu'ils n'ont récolté en primes. Et ils ne savent pas comment contrebalancer ces pertes, à part en augmentant les prix. Ce qui n'est pas une stratégie très viable à long terme.

Finalement, une PME a tout intérêt aujourd'hui à souscrire une assurance cyber risques ?

Oui, l'assurance est un pur calcul économique : vaut-il le coup d'investir tant au regard de la perte que je peux avoir sur les mois ou années à venir ? Vu le coût des attaques et leur fréquence en croissance, il est évidemment un bon pari pour une PME de s'assurer, à condition de s'assurer avec des acteurs ayant cette connaissance technologique.

Comment Stoïk se démarque-t-elle de ses concurrents ?

Ce qui nous distingue, c'est que nous sommes une entreprise de cybersécurité qui vend une assurance, et non un assureur qui vend une assurance cybersécurité. Concrètement, cela change qu'avec la souscription à l'assurance, nos clients ont tous accès aux outils que l'on développe, qui a pour vocation de les aider et que l'on met à disposition gratuitement. Donc on assure et on aide à se protéger, à réduire le risque pour le même prix, voire moindre que les autres assurances. C'est ce qui fait que nous sommes plus attractifs pour le client.

D'autant plus que nous pensons notre modèle viable car ces outils nous permettent d'une part de sélectionner les clients avec un point de vue technologique et pas uniquement avec le déclaratif évoqué tout à l'heure, et d'autre part d'améliorer en continu notre portefeuille de risques et de rentrer dans une logique gagnant/gagnant avec les clients. Nous voulons les aider à se protéger, ils veulent aussi se protéger et tout le monde en bénéficie s'il n'y a pas d'attaque.

Économisez sur votre assurance cyber-risques

Grâce à Assurlandpro.com, comparez gratuitement vos assurances professionnelles en quelques minutes pour être protégé au plus vite et au meilleur prix !

 
LAISSEZ UN COMMENTAIRE
 
0 RÉACTION
Pas encore de commentaire, soyez le premier.

RECHERCHEZ DANS LES ARTICLES