Cybersécurité : comment Stoïk veut aider ses assurés à améliorer leur posture

Le tournant entre 2023 et 2024 est chargé pour Stoïk, jeune pousse de la cyberassurance née début 2021 : son CERT interne a rejoint le First, l’association mondiale de réponse aux incidents de cybersécurité, peu après le lancement du tableau de bord Protect. 

Annoncé publiquement début décembre dernier, ce tableau de bord assuré se présente comme le point d’accès unique à toutes les informations préventives produites par Stoïk à l’intention de ses assurés. 

Une section infrastructure donne ainsi accès aux informations relatives à la surface d’attaque exposée telle que vue par les scanneurs externes, à partir de noms de domaine et d’adresses IP fournies par l’assuré : ports ouverts, services et technologies exposés, etc. Les tests permettent également de mettre en lumière d’éventuelles vulnérabilités non corrigées. En outre, explique Alexandre Andreini, Chief Risk Officer (CRO) et co-fondateur de Stoïk, avant qu’un démonstrateur d’exploitation de vulnérabilité ne soit publiquement disponible, l’assureur cyber alerte ses clients susceptibles d’être concernés, une fois que ce sera le cas.

Mais Stoïk va plus loin (pour ses clients qui le souhaitent), vérifiant la résistance des services exposés – VPN, Citrix, fermes RDWeb, messagerie, etc. – à des attaques en force brute, et tout particulièrement lorsque l’authentification à facteurs multiples (MFA) n’a pas été déployée.

Stoïk ajoute à cela une plateforme de phishing, utilisable pour lancer des campagnes régulières, notamment en retestant les utilisateurs s’étant fait piéger antérieurement. 

On retrouve également, dans Stoïk Protect, l’analyse de l’environnement Active Directory avec un objectif, fournir les chemins d’attaque et identifier les faiblesses, le tout en s’appuyant sur PingCastle. Alexandre Andreini y relève deux bénéfices déjà bien identifiés : « une fois que les clients ont conscience de leurs faiblesses, ils essaient de progresser », mais les données ainsi obtenues « aident aussi en réponse à incident, en trouvant plus rapidement le chemin » pris par l’assaillant. 

Les environnements cloud sont également pris en considération, avec notamment la question de sauvegardes immuables. Une question d’autant plus importante que certains peuvent être tentés de penser que les snapshots suffisent…

Alexandre Andreini souligne que Protect ne fait l’objet d’aucune obligation contractuelle : « nous préférons encourager l’utilisation des outils plutôt que de pénaliser et, dès lors, risquer de décourager ». Les données collectées sont également utilisées à des fins statistiques, avec une vision à long terme : ne pas surexposer le portefeuille de Stoïk à une technologie ou une autre.

La prochaine étape ? « Essayer de hiérarchiser les chantiers à conduire pour aider les clients à progresser », explique Alexandre Andreini.