Leslie Fornero est Responsable Communication de Stoïk, assureur spécialisé dans la protection et couverture des entreprises contre le piratage informatique. Leslie est aussi créatrice du podcast « Le monde de la cyber ».
On entend parler de plus en plus d’histoire de vols de données, de ransomware, etc, pouvez-vous nous donner des chiffres sur la situation du piratage en France et les perspectives ?
On entend le plus souvent parler de cyberattaques contre les hôpitaux publics ou les collectivités territoriales dans la presse.
Et pourtant, ce sont les TPE, PME et ETI qui sont les plus touchées par le fléau des ransomwares (rançongiciels). Elles représentent 40% des structures ayant signalé une cyberattaque auprès de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) d’après son dernier rapport sur le panorama de la cybermenace.
Une autre étude récente ASTERES rapporte que les cyberattaques ont coûté 2 milliards d’euros en 2022 en France et que parmi les 347 000 cyberattaques réussies, 330 000 concernent des PME et 17 000 des moyennes et grandes entreprises.
Aujourd’hui, toutes les entreprises sont concernées par le risque cyber et non plus uniquement les grands groupes. Le risque cyber représente le risque n°1 pour toutes les entreprises en France et nous avons le sentiment que la prise de conscience est en marche.
Comment est venue l’idée de créer Stoïk ?
À l’origine de Stoïk, un étonnement : comment tant d’entreprises peuvent-elles rester si vulnérables face à une menace aussi dévastatrice que les cyberattaques ?
Nous avons rapidement fait le constat qu’il était difficile pour une petite ou une moyenne entreprise de se protéger efficacement ou de s’assurer contre les cyberattaques parce que les outils et produits d’assurances présents sur le marché étaient jusqu’alors en priorité adaptés aux grands groupes.
Nous avons également rapidement constaté que si le devoir de conseil oblige les courtiers à proposer une couverture cyber à leurs clients, leur mission a longtemps été rendue compliquée par la difficulté de trouver sur le marché une assurance facile à souscrire, complète et intégrant un volet prévention indispensable sur ce risque.
C’est pourquoi nous avons décidé de créer le premier produit d’assurance cyber adapté aux besoins des courtiers en assurance et accessible aux PME et ETI.
Comment Stoïk permet à des entreprises qui exploitent un site e-commerce de se couvrir contre les dommages liés au piratage de leur site ?
Pour être couvert par l’assurance cyber Stoïk, les entreprises doivent passer par leur courtier en assurance. C’est lui qui lancera la procédure d’éligibilité à l’assurance que nous avons simplifié au maximum via des tests techniques automatisés et des questionnaires simples.
Ensuite, si un site de e-commerce est attaqué, il dispose de 48h pour le signaler à nos équipes qui mettront tout en œuvre pour le remettre en état dans les plus brefs délais.
Notre objectif est de limiter au maximum la perte d’exploitation et de permettre à l’entreprise de reprendre son activité normale le plus rapidement possible.
Nos garanties couvrent jusqu’à 2 millions d’euros de pertes et dommages.
En plus de son offre d’assurance, Stoïk est le seul assureur à fournir des outils de prévention contre le risque de piratage. Comment cela fonctionne t-il ?
Stoïk met à disposition des outils de cybersécurité qui permettent de repérer de potentielles failles techniques dans l’infrastructure externe et interne du système d’information d’une entreprise (scan externe, scan d’Active Directory, scan de Cloud), et de sensibiliser tous les collaborateurs au risque de cyberattaque par phishing (simulations de phishing). En cas de nouvelle faille, les experts en cybersécurité Stoïk notifient le courtier en assurance pour que l’entreprise cliente puisse remédier au problème au plus vite.
Cette méthode permet dans un premier temps d’éviter de subir les cyberattaques les plus courantes.
Et comme le risque zéro n’existe pas, nous préparons nos assurés à se faire attaquer et nous déployons notre équipe de réponse aux incidents de sécurité en cas de cyberattaque avérée.