Jules Veyrat ( Stoïk) "On ne peut pas bien assurer sans avoir une bonne compréhension du risque cyber"
L'assurance cyber a souvent l'image d'un secteur réservé aux grands comptes. Stoïk, une entreprise lancée il y a deux ans, a ouvert ce marché aux PME et désormais aux ETI. Entretien avec son CEO, Jules Veyrat.
JDN. Quelle est la spécificité de Stoïk ?
Jules Veyrat. Notre thèse est que pour bien faire de l'assurance en cybersécurité, il faut allier deux expertises : l'assurance et la cybersécurité. Car on ne peut pas bien assurer sans avoir une bonne compréhension du risque cyber. Notre produit associe donc une couverture d'assurance avec des outils de sécurité développés en interne. Nos assurés ont accès à ces outils gratuitement.
Pourquoi vous êtes-vous concentrés sur les PME ?
Elles représentent la majorité des victimes de cyberattaques opportunistes. Le risque pour ces entreprises est donc énorme, et elles sont aujourd'hui très peu protégées et encore moins assurées contre une menace qui pourrait pourtant les mettre à terre. Nous avons donc eu envie de créer la première solution simple et accessible pour les aider à élever leur résilience face à la menace cyber. Le risque pour ces entreprises est donc énorme, et elles sont aujourd'hui très peu protégées, et encore moins assurées, contre une menace qui pourrait pourtant les mettre à terre. Nous avons donc eu envie de créer la première solution simple et accessible pour les aider à élever leur résilience face à la menace cyber. Enfin, cela nous permettait de commencer par couvrir des risques faibles en termes d'assurance à payer en cas de sinistre.
Vous allez désormais également couvrir les ETI ?
La cible ETI est assez particulière. Elle est plus sensibilisée à la problématique de la cybersécurité que la PME. Mais souvent, elle n'a pas les moyens pour assurer sa cybersécurité, donc elle est souvent rejetée par les assureurs. Pour nous, avoir une ETI comme client demande un peu plus de travail. Avec une PME, on va faire un simple scan alors qu'avec une ETI le processus sera plus long et plus minutieux car le risque est plus grand. Toute ETI qui veut s'assurer chez nous passe par un petit questionnaire, puis échange pendant une heure avec deux membres de nos équipes, un souscripteur et un ingénieur en sécurité, qui sont là pour comprendre le système informatique de l'entreprise et évaluer son niveau de risque. Et si l'ETI a un niveau de sécurité bon ou très bon, ce qui est rare, pas de problème.
Et sinon ?
Si le niveau de sécurité est moyen, on va tout de même assurer l'ETI mais sous certaines conditions. Et si le niveau n'est pas bon, alors on explique à l'ETI pourquoi on ne peut pas l'assurer. Les ETI nous demandent plus de travail car on rentre beaucoup plus dans le détail. C'est un travail que l'on peut mener car sur nos 45 employés, 15 sont ingénieurs en cybersécurité. Nous allons continuer à monter vers de plus en plus grandes ETI et nous souhaitons aussi continuer à élargir notre portefeuille de clients à travers toute l'Europe. Cette étape sera la prochaine à atteindre.
Comment accompagnez-vous vos assurés victimes de cyberattaques ?
Depuis janvier, nous enregistrons en moyenne deux cyberattaques par semaine. On active alors notre garantie de réponse à incident, sachant que la plupart de nos concurrents l'externalisent. Au début, nous faisions comme eux mais cette partie est tellement cruciale qu'on a mené des recrutements pour avoir au sein de nos équipes des experts de la réponse à incident, dont d'anciens de chez Wavestone comme Vincent Nguyen qui était le chef de leur équipe dédiée. Notre définition de cyberattaque est qu'il y a eu intrusion. Quelquefois l'attaquant n'a pas totalement accompli son office, d'autres, la situation est beaucoup plus grave. Par exemple, il y a plusieurs semaines, un de nos clients, une grosse entreprise d'e-commerce, a subi une cyberattaque qui a fait tomber son site. Nous étions en pleine période de soldes, et des ventes ont été perdues. Nous avons dû intervenir rapidement pour remettre la situation à la normale.
A quoi ressemble les outils mis à la disposition de vos clients ?
Nous avons un outil de simulation de campagne de phishing, puis différents scans. Un premier pour scanner les vulnérabilités externes, un second de configuration du Cloud et un troisième qui va repérer les mauvaises configurations de l'Active Directory. Ce sont des outils simples qui vont être les premières briques d'une bonne défense cyber pour nos clients, et qui vont leur éviter de tomber dans le piège des cyberattaques les plus simples.
Quel est le taux de clic sur la simulation de campagne de phishing ?
On a 18% des cibles qui ouvrent le mail et seulement 1% d'entre eux vont transférer leurs données via le mail piégé. Nous avons fait le choix de faire ces simulations de phishing car c'est le premier vecteur d'attaque utilisé contre les ETI et les PME. Pour revenir sur ce taux de 1%, il peut paraitre minime au départ mais en réalité, il est énorme car il est suffisant pour provoquer une cyberattaque sur l'entreprise.