StoïkBlogCyberassurance

Quantifier le risque cyber, mission impossible ?

Leslie Fornero
Dernière mise à jour :

Alors que les cyberattaques ne cessent de s'intensifier depuis le début de la pandémie du Covid-19, les petites et moyennes entreprises sont devenues les nouvelles cibles des hackers et peinent à se protéger. La nouvelle guerre cyber ne se joue plus uniquement chez les grands groupes, elle est désormais partout. Il n'est plus question de savoir si une entreprise va se faire attaquer, mais plutôt quand.

Addactis x Stoïk quantifier le risque cyber

Aujourd'hui, tout le monde est concerné. Il s'agit du risque numéro 1 en entreprise et les attaquants ont pris le dessus en innovant constamment sur leurs techniques d'attaque : mails de phishing ultra personnalisés, exploitation de failles jusqu'alors inconnues, ils débordent d'inventivité et mettent en jeu les plus « faibles » d'entre nous, les TPE et PME.

Dans ce contexte particulièrement tendu, est-ce encore possible aujourd'hui d'assurer le plus grand nombre d'entreprises contre un risque qui n'est pas maîtrisable et pour lequel nous ne disposons pas de données historiques ? Est-il possible de quantifier le risque cyber dès lors qu'il est imprévisible et si oui, comment ? Quel avenir pour les assureurs, face à un risque si volatile ? C'est le sujet pour lequel nous avons le plaisir d'accueillir Alexandre Andreini de Stoïk et Thomas Bastard d’Addactis.

Alexandre Andreini Stoïk

Alexandre Andreini est CTO et co-fondateur chez Stoïk. Ancien consultant chez Wavestone, il est diplômé de Polytechnique et de l’École normale supérieure et s’intéresse particulièrement à la cybersécurité offensive.

“Ma priorité, c'est de diminuer le taux de sinistralité, donc le taux de sinistres sur le taux de prime. Pour ça, on a développé plusieurs modules de cybersécurité dont un scan externe, qui va sonder les infrastructures de nos clients, et un module de phishing qui va tester la faiblesse de leurs collaborateurs.”
Thomas Basard Addactis

Thomas Bastard est manager actuariat non-vie dans l'entité française de la Risktech Addactis. Ingénieur diplômé de Centrale Supélec et d’un master de l'Université Paris Dauphine, il est également membre actif de l'Institut des actuaires. Il a travaillé quatre ans chez Axa avant de rejoindre Addactis en 2018.

“Mon domaine d'expertise, c'est le conseil en actuariat non-vie : je travaille pour le compte de nos clients sur les problématiques liées à l'assurance dommages aux biens, risque industriel, construction, responsabilité civile et risques divers. Mon sujet favori est le risque cyber. J'ai développé des modèles utilisés par des assureurs pour rendre compte du comportement spécifique du risque cyber. L'objectif de ces travaux est de mieux mesurer et de mieux anticiper ce risque auquel les assureurs sont exposés à la fois en tant que cible directe, qu’en tant que porteur du risque.”

Leslie : Tout d'abord, Thomas, en préparant cette interview, j'ai été intriguée par ce mot : "actuariat". Qu'est-ce que l’actuariat ?

Thomas : L’actuariat c'est assez simple finalement : c'est une science appliquée, basée sur des méthodes statistiques et des calculs de probabilités appliqués à l'assurance.

Cela correspond à l'ensemble des besoins quantitatifs des assureurs et concerne les aspects financiers, techniques, réglementaires et dans une certaine mesure, comptables. Ce sont eux qui construisent des produits et qui définissent leur tarification, qui suivent les engagements des assureurs dans la durée et qui modélisent les business plans.

C'est également le travail des actuaires de garantir la solvabilité des assureurs et donc d'assurer la protection des assurés et des autres parties prenantes dans la durée.

Les actuaires, ce sont les matheux pour l'assurance donc, par exemple, lorsqu'un individu souhaite souscrire une police d'assurance automobile, il sait bien que son prix va dépendre de différents facteurs.

On va lui soumettre un questionnaire et, en fonction des réponses à ces questions, un prix lui sera proposé. C'est un modèle mathématique basé sur l'analyse d'un grand nombre de données qui aboutit à une tarification adaptée au risque de chaque individu.

Alexandre, au début de l'aventure de Stoïk tu as mandaté Addactis pour te familiariser avec le sujet de l'actuariat. En quoi cette étape était essentielle pour le développement de Stoïk ?

Alexandre : Effectivement ! En fait, j’ai un background de mathématiques appliquées, donc je connais pas mal les modèles existants pour estimer un risque. Mais je n’ai pas de background d'assureurs, donc je ne maîtrise pas toute la partie sur l’application concrète à l'assurance.

On a choisi de mandater Addactis pour avoir des experts avec qui échanger sur cette thématique qui était nouvelle par son formalisme, et pour être sûrs que le modèle qu'on mettait en place n'était pas trop éloigné de ce qui se fait traditionnellement dans le milieu de la science.

Thomas, chez Addactis, as-tu l'habitude d'accompagner des entreprises sur la tarification du risque cyber ?

Thomas : Addactis est un acteur de référence sur le marché de l'actuariat conseil, c'est un acteur historique qui a plus de 25 ans d'existence et qui dispose d’une équipe dédiée aux enjeux liés à la tarification. Cependant, le risque cyber reste un marché de niche : la majorité des missions ne portent pas sur ce risque particulier.

Néanmoins, c'est dans l'ADN d'Addactis d'innover et en ce sens, Addactis a été l’un des pionniers sur les travaux liés aux risques cyber. On a débuté dès 2019, autant dire une éternité par rapport à ce type de risque.

De fait, pour réaliser la mission Stoïk, on a mis en commun ces deux types d'expertises de telle sorte à apporter la meilleure réponse à Stoïk.

Que retiens-tu de ton expérience avec Addactis, Alexandre ? Comment s'est déroulée la collaboration ?

Alexandre : C'était l'été dernier à ce moment-là, on devait créer une tarification ex-nihilo c'est-à-dire qu'on n’avait aucune idée de ce que devait être la tarification en assurance cyber. L’actuariat, c'est effectivement quantifier un risque donc déterminer quel prix une entreprise devrait payer en fonction de son risque. Ce prix doit dépendre de certaines variables importantes qui jouent sur le risque et qui influencent le risque : une entreprise plus grosse doit payer plus cher parce qu'elle a plus de risque. Si elle s'arrête, la perte de son chiffre d'affaires va être plus importante donc elle devra payer plus cher.

La manière dont on a collaboré avec Addactis, ça a d'abord été de notre côté de collecter beaucoup de données sur les tarifications de nos concurrents. On a très peu de données sur la sinistralité. Le risque cyber est particulier à cet égard : on a très peu de données de sinistre parce que c'est un risque qui est récent.

Les manières traditionnelles de faire des modèles de risque ne s'appliquent pas parce qu'on n'a pas assez de données de sinistre. Et donc on a commencé par collecter tout un tas de points de tarification de nos concurrents et on a commencé la collaboration Addactis à partir de ces points.

À nous de dire ensuite où est-ce qu'on trouve qu'on peut faire mieux, ou est-ce que de par notre expertise, de par leur expertise, on pense que ces modèles peuvent être améliorés. On les confronte pour trouver quelque chose qui nous semble pertinent et plus juste que ce qui se faisait à cet instant-là sur le marché.

Vous êtes-vous inspirés d'autres modèles assurantiels qui ne sont pas liés au risque cyber ?

Alexandre : Sur les modèles d’actuariat traditionnels, il y a énormément de modèles qui reviennent fréquemment.

On pourrait en dire deux mots, mais les GLM (modèles généralisés de régression linéaire) par exemple, ce sont des modèles qui sont très traditionnels en assurance, très classiques. Quand on a regardé les tarifications de nos concurrents, on a essayé de les comprendre sous le jour de ces modèles traditionnels.

Pouvez-vous donner un exemple concret de modèle traditionnel ?

Thomas : En actuariat non-vie, les deux branches principales, c'est l'automobile et le multi-risque habitation. Ces deux risques sont connus depuis longtemps. Leur particularité, c'est que pour modéliser ces risques, les assureurs possèdent des bases de données profondes et assez extensives, c'est-à-dire qu'ils ont beaucoup d'informations pour construire un modèle.

Ces risques ont évolué assez significativement depuis 2020 et la pandémie Covid qui a un petit peu bousculé ces branches. Cependant, ces risques sont relativement peu évolutifs au cours du temps si on met juste le Covid entre parenthèses.

Par exemple, on sait aujourd'hui exactement à quelle fréquence un dernier étage d'un appartement parisien va se faire cambrioler. On a des statistiques sur cette donnée et c'est quelque chose qui est assez linéaire dans le temps, qui n'a pas évolué ?

Thomas : Absolument absolument. Ce sont des choses sur lesquelles les assureurs savent très bien faire. Par exemple, pour l'inondation au dernier étage, effectivement, il n’y a aucune chance qu’ils subissent un sinistre.

Après, les modèles vont assez loin, par exemple, ils vont prendre en compte le type de chauffage, le nombre de fenêtres, le type de fenêtres, l'année de la construction, la région en France… Il y a aussi des stratégies business qui sont appliquées par les assureurs, pour des raisons diverses, certains vont avoir tendance à vouloir attirer certains profils de risque. Chacun va piloter un petit peu son produit en fonction à la fois de la sinistralité et aussi de ses prévisions et de sa stratégie.

Cependant, pour le cyber, les choses sont différentes. Les bases de données historiques sont quasi inexistantes. Il y en a, mais elles ne représentent pas forcément bien le risque et la sinistralité.

Pourtant, on trouve des études (du CESIN par exemple) qui disent que plus de 50% des entreprises se sont fait attaquer entre 2020 et 2021, que 60% des PME font faillite après une cyber attaque, ces données-là elles ne peuvent pas vous aider ? Pour quelles raisons ?

Thomas : En fait, ces données-là nous ont aidés parce que justement, on n'avait pas de longs historiques de données. Quand on n’a pas ces informations là on va intuiter un modèle et proposer une calibration en utilisant des études telles que vous citez. Mais c’est seulement à partir d'un grand nombre d'informations qu’il est possible de les synthétiser dans un modèle.

Le baromètre annuel du CESIN - Club des Experts de la Sécurité de l'Information et du Numérique
Chaque année, le groupe de travail publie un baromètre sur la cybersécurité des entreprises françaises.

Il n’y a pas assez de données parce qu’il n’y a pas assez d'entreprises qui déclarent leurs sinistres, c'est un vrai sujet pour vous ?

Thomas : Oui, et il faut faire très attention. Par exemple, le CESIN, c'est un groupement de grandes entreprises et là on parle de Stoïk qui est spécialisé sur les PME ou les TPE. Est-ce qu’on peut transposer des données CESIN à un modèle qui a pour cible les TPE et PME ? Pas trop en fait, on n’aura ni la bonne fréquence, ni la bonne sévérité.

Alors, comment fait-on pour quantifier ce risque auprès d'entreprises dont on ne dispose d’aucune donnée historique ?

Thomas : En tant qu’actuaire on va avoir un peu de recul sur les cadres qui peuvent fonctionner pour d'autres risques. On va porter un regard critique sur le cadre qui pourrait fonctionner pour ce risque.

Alexandre a fait ressortir les variables discriminantes qui sont celles qui vont influer le plus sur le prix. Pour construire le cadre on va construire un « a priori », c’est un terme mathématique qui suppose d’utiliser des variables discriminantes. À partir de là, on va essayer de proposer une calibration : peut-être que pour certaines variables, on pourra utiliser les données existantes. Et pour d’autres, on va utiliser des études externes qui font office de référence. Le CESIN peut-être pas, mais par exemple des études de l’AMRAE pour la sécurité en France ou ce genre de choses qui vont nous permettre de proposer une calibration pour les variables restantes.

C'est un petit peu ce qu'on a fait pour Stoïk : on a proposé un modèle avec une touche de GLM et, pour le reste, beaucoup de bon sens. Et au final, on a proposé un modèle qui est interprétable, qui est intuitif, dont la calibration des paramètres devra être suivie dans le temps car c'est aussi une des limites du risque cyber : c'est un risque très évolutif. On ne peut pas savoir en 2022 comment va se comporter le marché en 2023. C'est quelque chose qui est impossible à prédire. Cependant, on peut agir sur certains leviers de telle sorte à maîtriser le risque, et c'est là qu’on a besoin d'expertise en cybersécurité.

Pour bien comprendre les points de cyber-vulnérabilité dans les entreprises, un enjeu sera de mesurer le niveau de cybersécurité d'une entreprise pour l'intégrer à des modèles. C'est ce qui a été fait aujourd'hui sur des approches assez intuitives. C'est un modèle qui est représentatif de ce risque.

Cependant, on peut probablement aller plus loin dans le futur quand on aura plus d'expérience, et plus de données pour améliorer les modèles.

Alexandre : Pour répondre un peu plus fondamentalement : on le fait mal. À l'heure actuelle, il n'y a aucun acteur en Europe qui prédit correctement le risque cyber, notamment parce que c'est un risque évolutif. Les variables tarifaires utiles, c'est-à-dire les paramètres dont dépend le prix, ne sont que des proxys des vrais paramètres. Ceux qu'on utilise à l'heure actuelle, c'est le chiffre d'affaires, le secteur d'activité, le nombre d'employés. Il y a très peu d'actuaires voire aucun avant Stoïk, en tout cas sur le segment PME, qui utilisait des données techniques pour comprendre à quoi ressemble l'entreprise d'un point de vue informatique, et ce, pour quantifier le risque.

Jusqu’ici, la tarification du risque cyber était fondamentalement imparfaite et fondamentalement mal faite. C’est pour ça qu’on se retrouve avec des prix qui ont doublé entre l'année 2021 et l'année 2022. Le risque est mal quantifié donc la prime d'assurance est mal quantifiée. La théorie chez Stoïk, c'est effectivement de se dire qu’on va rajouter de la donnée qui fait sens d'un point de vue risque pour avoir des meilleures variables tarifaires, ce qui est très compliqué.

Pour le moment, on a les inputs c’est-à-dire qu’on sait à quoi ressemblent les systèmes informatiques, mais on n'a pas la sinistralité. Chez Stoïk on a trois sinistres pour l'instant. En fait, on n'a pas suffisamment d’output pour voir concrètement à quoi un système informatique est exposé.

Donc ce qu’on regarde vraiment, ce sont les systèmes informatiques. On sait ce que certaines vulnérabilités représentent et on peut exclure les entreprises trop vulnérables, ou leur faire payer plus cher. Mais on n'a pas de modèle beaucoup plus fin que ça et c'est ça qu'on va vouloir chercher dans les prochaines années ; c'est pour ça qu'on crée d'autres modules c'est pour ça qu'on veut grandir sur des marchés et avoir de plus en plus de clients. C'est pour atteindre cette masse critique de données qui va nous permettre d'être beaucoup plus stables dans notre tarification.

À partir de combien de clients estimez-vous qu’on a une masse critique de données?

Alexandre : C'est la question à un million d'euros. Je pense que quand on aura quelques milliers de clients, on sera déjà beaucoup plus sereins sur le modèle de pricing. Si on prend l'assurance automobile, il y a des millions de gens qui ont des voitures donc c'est très facile d'avoir de la donnée de sinistre. On a tout de suite des modèles où la sinistralité d'année en année évolue très peu parce qu'on a les bons paramètres. Bien sûr, il y a des modèles qui évoluent, mais pas aussi rapidement et aussi fondamentalement que la cybersécurité.

Certains acteurs américains qui ont plusieurs dizaines de milliers de clients commencent à avoir des modèles plus robustes mais pas encore aussi stables que ce qu’on peut voir sur d'autres types d'assurances. 

Sur quel modèle est-on parti chez Stoïk ?

Alexandre : Ce qu'on veut faire c'est une assurance dont le prix dépend de la sécurité mise en place par l'entreprise. C'est quelque chose que l’on peine à faire à l'heure actuelle parce qu'on n'a pas assez de données de sinistres. On le fait, mais dans des proportions qui sont beaucoup plus faibles que ce qu'on va vouloir faire dans le futur.

Aujourd’hui on a beaucoup plus une approche oui ou non : si on considère que le risque est bon, on l'accepte. Si un risque est mauvais, on ne l’accepte pas. Plus tard, quand on aura un tout petit peu plus de données, notamment de sinistralité, on voudra, en fonction des technologies utilisées par l'entreprise, lui faire payer potentiellement plus cher. Parce qu'on saura que cette technologie utilisée est associée à plus de sinistre.

En fait, c'est la trajectoire vers laquelle on se dirige et c'est là où effectivement on rejoint un peu ce concept d'assurance connectée sur le modèle de l'assurance automobile, par exemple : celui de récupérer les données de conduite d'un utilisateur, de voir à quelle vitesse moyenne il roule, connaître ses habitudes d’accélération, etc. Vous mettez un petit boîtier dans votre dans votre voiture, le boîtier va enregistrer le profil de conduite et va permettre une tarification qui est adaptée.

C’est quelque chose qui est très utilisé aux US par les jeunes parce que les jeunes doivent traditionnellement payer beaucoup plus cher en assurance automobile et certains se plaignent en disant “je conduis correctement, je ne vois pas pourquoi je paierais plus cher”. Il y a donc cette symétrie qui a été mise en place et il y eu pas mal de papiers de recherche qui ont montré qu'on avait des modèles qui étaient plus fins en faisant ça.

Donc j'espère que l'approche sera un peu la même : on veut collecter cette télémétrie de données cyber pour créer des indicateurs pertinents du risque. Quand je parlais de technologie tout à l'heure, ça peut être un indicateur. Ça peut être aussi une vulnérabilité qui met tant de temps à être corrigée.

Quand on va arriver à beaucoup plus de données, on va pouvoir utiliser des modèles beaucoup plus prédictifs pour extraire ces indicateurs. C'est ce vers quoi on veut tendre.

Et c'est là où je crois fondamentalement notre modèle c'est-à-dire qu’à l’heure actuelle, quand on prend des bases de données, en fait, on n'a pas vraiment toutes les données utiles. Ou alors elles ne sont pas dans le bon format, etc… Nous, dès le début, on a fait cet effort de collecter la donnée qu'on pense pertinente pour pricer.

On est les seuls sur le marché français à l'heure actuelle à mettre tout en place pour pouvoir demain quantifier le risque cyber correctement, là où les acteurs traditionnels ne pourront pas faire beaucoup mieux parce qu’ils ne collectent pas toutes les données utiles.

Et c'est ce qu'on voit aux États-Unis, vous prenez des Coalitions, At-Bay. Maintenant, ils sont performants parce qu'ils ont une connaissance du risque qui est beaucoup, beaucoup plus fine et qui est différente du marché européen.

Les acteurs américains arrivent à avoir un loss ratio beaucoup moins élevé que les acteurs européens. Est-ce que ça s'explique par les outils qui récoltent la data et qui leur permettent d'affiner leurs tarifications ?

Alexandre : Oui encore une fois, deux choses. Premièrement, on ne connaît pas exactement tous leurs chiffres, donc il ne faut pas non plus les sur-vendre ni les sous-vendre. Et deuxièmement, ils ont eu des loss ratio qui n'étaient pas si bons que ça. Si on prend maintenant ils ont des bons loss ratio en tout cas de ce qu'on peut entendre. Mais certains gros acteurs américains se sont vus suspendre leur capacité d'assurance - donc de souscrire des nouvelles polices - pendant un certain temps durant l'année 2020 ou 2021. Donc, encore une fois, il ne faut pas les sur-vendre mais effectivement si on prend froidement 2022, ils surperforment le marché.

Loss ratio = taux de sinistralité
C’est le coût réel des sinistres par rapport aux primes encaissées par l’assureur. Pour un assureur, un loss ratio maîtrisé est un loss ratio faible. Plus il augmente, plus l’assureur perd de l’argent. Les loss ratio des assureurs traditionnels ont explosé depuis le début de la crise du Covid et l’augmentation imprévisible des cyberattaques.

Alors que sur le marché français, si le loss ratio a baissé en 2022, c'est parce que les primes ont augmenté et que les conditions d'éligibilité ont durci c'est-à-dire qu'il y a toujours aussi peu d'entreprises qui sont assurées…

Alexandre : à l'heure actuelle les loss ratio en France ne veulent rien dire sur les TPE x PME : il y en a très très peu qui sont assurées.

On est très loin d'avoir le nombre suffisant pour atteindre la loi des grands nombres donc en fait les chiffres ne veulent pas dire grand chose. Effectivement, il y a une sélection du risque qui n'est pas mauvaise. Mais on est vraiment sur un facteur presque chance. Si vous prenez le loss ratio de 2020 qui a énormément augmenté pour les grands groupes, c'est dû principalement à trois sinistres. Effectivement, ces trois sinistres, c'est pas de chance qu'ils soient arrivés, mais en fait s’ils n’étaient pas arrivés, personne ne se serait inquiété du risque cyber. Donc on n'a pas encore la masse critique de données pour avoir des choses qui sont très stables.

Thomas, est-ce que tu penses que Stoïk va dans la bonne direction avec son modèle de quantification du risque ?

Thomas : Sur l'aspect du modèle en lui-même, je pense que la démarche est la bonne. Quand on rentre sur un marché, il faut essayer de se renseigner auprès des acteurs qui possèdent de l'expertise. D’ailleurs, j’ai une question au niveau de la télémétrique : est-ce que l'objectif plus tard ce sera de faire varier la prime, par exemple mois par mois, en fonction du niveau de sécurité par exemple ?

On imagine un assuré qui met à jour son système d'exploitation ou qui va déployer un nouvel outil au sein de son organisation pour se protéger, est-ce que dans ce cas-là le mois suivant il paye un peu moins cher parce qu'il a mis en place des mesures pour se protéger plus efficacement ?

Alexandre : c’est une excellente question, à laquelle je n'ai pas encore de réponse définitive. C'est très dur en fait de faire changer le prix tous les mois, parce que ça veut dire qu'on ne peut pas faire une promesse à un assuré sur une durée qui est significative. Baisser le prix parce qu'il a pris de bonnes mesures, cela veut dire aussi l'augmenter si ce n’est pas le cas, et c'est beaucoup plus compliqué.

Ça se fait de manière traditionnelle au moment du renouvellement, c'est-à-dire au bout d'un an : on tient compte du comportement durant l'année écoulée pour potentiellement augmenter les prix. Je pense que pendant très longtemps encore, on va rester sur des prix qui changent au renouvellement en fonction de ce qu'on a pu observer. En revanche, ce que l’on voudrait faire, c'est effectivement de contraindre l'assuré, s'il ne réagit pas suffisamment rapidement à de nouvelles vulnérabilités sur son système (détectées par notre scan).

À l'heure actuelle, on n'a pas trouvé de moyen légal d'imposer à l'assuré de remédier à cette vulnérabilité. Évidemment, c'est dans son intérêt, évidemment que nous, on a des ressources en interne pour l'aider à faire ça, parce que ça arrange tout le monde de corriger cette vulnérabilité.

On pourrait même aller plus loin et parler de déchéance de garantie dans le cas où un assuré ne corrige pas ses vulnérabilités critiques : si une vulnérabilité dépasse un certain seuil de criticité, l’assuré aurait un certain temps pour la corriger.

Encore une fois, ce sont des choses auxquelles on ne pense pas encore, mais sur lesquelles on est très vigilant parce que c'est la tendance du marché et ce sont des choses que les assureurs veulent mettre en place pour éviter un risque systémique (une grosse vulnérabilité qui impacte énormément de clients, des scénarios qui peuvent impacter toute la planète).

Il faut donc se prémunir et c'est pour ça que les assureurs sont en train d'envisager ce genre de piste.

Le risque systémique dans la cyber
Si une nouvelle vulnérabilité impacte un grand nombre d’entreprises en même temps. Certaines failles peuvent aller jusqu’à impacter toute la planète. Il suffit d’une nouvelle vulnérabilité pour qu’une réaction en chaîne s’ensuive et que les assureurs soient dépassés.

Thomas : Je pense que c'est une approche très saine en fait et qui n'est pas nouvelle. Ce qui est nouveau, c'est que ce soit appliqué à des risques nouveaux et complexes. Par exemple, ça fait des décennies que les assureurs qui assurent des grands risques industriels font des audits du niveau de la sécurité des entreprises.

Donc ils envoient des experts qui vont dire si oui ou non ils assurent. Les experts définissent avec l'assuré un cahier des charges pour qu’il prouve un certain niveau de sécurité qui permettent à l'assureur de pouvoir accepter le risque. Donc ce sont de bonnes pratiques qui permettent de réduire le nombre d'attaques global dans un écosystème économique.

Ce sont donc des choses extrêmement saines qui peuvent avoir un intérêt business parce qu'à la fois les assurés ont moins de sinistre et à la fois l’assureur peut proposer des tarifs plus compétitifs. Donc c'est gagnant-gagnant. Voilà, c'est un cercle vertueux qui se met en route.

Quel avenir pour les assureurs traditionnels qui fonctionnent sur des modèles déclaratifs sans récolter de données cyber sur leurs clients ?

Thomas : L'impression que j'ai, c'est que les gros assureurs essayent quand même de faire ce travail. Effectivement, le gros du marché sont les grandes entreprises. Typiquement pour une très grosse entreprise qui veut se faire assurer contre le risque cyber, l'assureur va organiser des audits avec le responsable de la sécurité des services et des systèmes d'information (RSSI).

Il y a donc un travail qui se fait là-dessus, et des informations qui sont récoltées. L'impression que j'ai, c'est que le marché des TPE x PME n'existe pas vraiment et c'est là où Stoïk semble avoir un coup d'avance sur ce marché. Donc pour répondre à votre question, je ne pense pas que les assureurs aillent dans le mur : ils font la même chose, mais pas sur le même marché.

Alexandre : oui, je suis aligné avec ça, le gros du marché, pour l'instant, ça reste les grandes entreprises. Si on est un peu ambitieux sur les TPE x PME, ça ne le restera pas. Mais à l'heure actuelle, les acteurs historiques sont très bien implantés sur les gros risques. Et ce ne sont pas des risques sur lesquels Stoïk pourra se différencier parce que justement, il n'y a pas cette loi des grands nombres qui s'applique. Il y a quarante boîtes dans le CAC 40. Nous, on est sur des prix qui sont beaucoup plus custom et faits pour une entreprise en particulier.

En revanche, sur les TPE x PME, je suis intimement convaincue qu’on va faire beaucoup mieux que les acteurs historiques, AXA, AIG, etc. J'espère encore une fois que ces acteurs feront un move cyber, qu’ils internaliseront certaines de leurs capacités parce que c'est dans l'intérêt de tout le monde d'avoir des acteurs qui protègent les TPE x PME françaises. Mais encore une fois, sinon, Stoïk sera là.

Enregistrement réalisé avec Echoes Studio.