Bercy a tranché à la rentrée. Le ministère ouvre officiellement la porte à l’indemnisation des cyber-rançons. Cette décision a ranimé un débat chaud dans le milieu de l’assurance : faut-il payer ou non les fameuses rançons ? Les partisans du pour et du contre s’affrontent par médias interposés, sur LinkedIn ou dans les conseils de direction.
Alors que certains acteurs assument et militent même pour le remboursement des rançons, d’autres font le choix inverse. Chez Stoïk, la position est claire : ne pas payer les rançons. Le CEO de la jeune cyber insurtech, Jules Veyrat, nous a confié ses positions sur le sujet. Entretien avec un dirigeant qui souhaite accompagner la cybersécurité vers une nouvelle ère.
Jules Veyrat : Nous avons créé Stoïk il y a 18 mois avec mes trois associés. À titre personnel, je n’avais jamais fait ni de cyber, ni d’assurance. Je suis sorti d’HEC, puis j’ai travaillé à Philosophie Magazine. J’étais en contact avec des TPE et des PME, où j’ai fait un constat étonnant. Il y a un décalage énorme entre le niveau de risque pour ces petites entreprises, qui en cas de cyberattaque peuvent cesser d’exister, et leur niveau de protection face à ce risque, qui est faible voire nul.
Il y avait donc un réel manque sur ce marché. Les patrons me le disaient : je sais que ça peut m’arriver, mais je n’ai pas les compétences pour me protéger. Nous avons donc lancé Stoïk. Nous associons une couverture d’assurance pour les cyberattaques, avec des outils de sécurité interne gratuits pour nos assurés.
Il y a un double problème : l’offre et la demande. Pour la demande, la conscience du risque est croissante, mais insuffisante. Beaucoup de dirigeants de TPE-PME se disent encore, quel criminel va s’intéresser à mon entreprise ? Ce qu’ils ne savent pas, ou ne comprennent pas, c’est que les attaques sont majoritairement opportunistes. L’attaquant ne s’intéresse pas à ce que fait l’entreprise, ils cherchent une opportunité pour attaquer.
Pour l’offre, les assureurs ont perdu de l’argent en faisant du risque cyber ces dernières années. C’est un risque nouveau, volatile et sur lequel on manque de données. Par exemple, en 2020, les assurances ont beaucoup plus dédommagé qu’elles n’ont collecté de primes. Les critères pour souscrire une assurance cyber deviennent donc de plus en plus compliqués à atteindre.
L’assurance repose sur trois piliers : la sélection des risques, la quantification des risques et la prévention des risques. Personne n’a aujourd’hui la solution miracle pour la quantification des risques cyber. Personne n’a assez de recul pour dire que telle entreprise, avec tel profil de sécurité, doit payer tel prix pour être rentable.
Mais on peut jouer sur les deux autres critères. Pour la sélection des risques, on peut utiliser des critères pas seulement déclaratifs, mais aussi et surtout techniques. Par exemple, on peut auditer l’entreprise avant de l’assurer. Ensuite, sur la prévention des risques, c’est là le véritable rôle de l’assureur pour moi. Sa vocation est d’aider le client, de sensibiliser ses collaborateurs. C’est un tiers de confiance, qui a un rôle majeur pour protéger et renforcer notre tissu économique.
Oui, et pour deux bonnes raisons. D’abord, il y a des acteurs américains qui ont compris le modèle cyber, dont Stoïk s’est inspiré. Ces entreprises cartonnent, pas en termes de nombre de clients, mais car leur taux de sinistralité est plus faible que le reste du marché. Déjà, cette réussite intéresse les investisseurs.
Il y a une opportunité énorme en Europe. Le marché reste entièrement à conquérir, et il y a la possibilité de faire les choses bien. Les investisseurs veulent donc investir dans les entreprises qui ont repéré ce marché.
En cas d’attaque cyber, c’est un véritable désastre pour les entreprises. Par exemple, Clestra (entreprise alsacienne de cloisons, 400 salariés) a dû se mettre en redressement judiciaire en août après une cyberattaque. Avoir une assurance cyber, ça aurait pu les sauver. Encore plus, si son assureur l’avait aidé à améliorer sa sécurité. Et c’est un désastre que de belles PME françaises, qui existent parfois depuis des années, doivent arrêter d’exister.
Attention, couvrir la rançon et couvrir les ransomwares, ce n’est pas la même chose. Chez Stoïk, nous couvrons les ransomwwares, comme les pertes d’exploitation et la remise en route du système. Pour autant, on ne paye pas la rançon. Il y a des entreprises qui limitent l’événement ransomware, qui peuvent abaisser leur niveau de couverture. Je ne connais aucune entreprise, pour l’instant, qui exclut formellement le ransomware de ses garanties.
C’est super positif ! Et il y en aura beaucoup d’autres ! On fait des émules et j’en suis ravi. Sur le paiement des rançons, nous n’avons pas le même positionnement mais je comprends leur point de vue.
Au fond, il n’y a qu’un pourcent des entreprises qui sont couvertes sur ce genre de risques. Et on ne peut pas tout couvrir avec Stoïk ! Le but c’est de passer le message, et d’évangéliser un maximum. Ça ne me pose pas de problème que d’autres entreprises arrivent sur ce marché… tant que nous restons premier !
De notre côté, on veut faire de la prévention comme personne ne le fait sur le marché. Mais payer la rançon pour offrir un filet de sécurité, ce n’est pas le message que je veux envoyer, ni à nos clients, ni aux courtiers avec lesquels on travaille.
La jeune Stoïk s’engage donc formellement à ne pas payer les rançons. On suivra avec intérêt les différents positionnements des acteurs, et notamment des insurtechs, dans les mois à venir. Un immense marché se dessine autour de ce risque qui explose sans être correctement adressé. Le marché français de l’assurance cyber a en effet atteint 219 millions d’euros en 2021, soit seulement 0,35% du chiffre d’affaires de biens et responsabilités des assureurs. Pour celui qui craquera le code, c’est clairement l’assurance d’un succès de taille derrière la porte !