Zscaler, bon samaritain de la cyberassurance

Selon le Cyber Risk Intelligence Center de Marsh McLennan, 31 % des cyber-incidents auraient pu être évités grâce à une architecture Zero Trust, représentant jusqu'à 465 milliards de dollars de pertes évitables par an.

Ces chiffres impressionnants demandent toutefois à être contextualisés. La méthodologie d'évaluation n'est pas détaillée, et l'étude émane d'un partenaire de Zscaler, ce qui peut questionner son objectivité. De plus, quantifier les pertes "évitables" reste un exercice complexe, les cyberattaques étant souvent multifactorielles.

« Il n'avait jamais été possible de quantifier l'impact économique du Zero Trust », commente néanmoins Scott Stransky, directeur du centre d'analyse chez Marsh McLennan. Une affirmation qui souligne paradoxalement la nouveauté – et donc l'incertitude – de ces estimations.

C’est toutefois suivant cette logique de quantification que Zscaler propose Risk360, un outil d'évaluation du risque cyber s'appuyant sur les données télémétriques de sa plateforme. L'objectif : permettre aux entreprises de négocier des conditions préférentielles d'assurance cyber.

L'idée séduit déjà des assureurs : AXA et Marsh auraient manifesté leur intérêt pour ces données comportementales, plus précises que les traditionnels questionnaires déclaratifs. Cette approche pourrait révolutionner le marché de l'assurance cyber, aujourd'hui handicapé par le manque de données fiables.

Cependant, cette innovation soulève des questions fondamentales. Les entreprises accepteront-elles de partager leurs données de sécurité avec leurs assureurs ? Cette transparence pourrait se retourner contre elles en cas d'incident, les assureurs disposant d'éléments pour contester les indemnisations.

Au cours de l’entretien qu’il nous a accordé, Stephen Singh, vice-président monde, Fusions/Acquisitions et Risques Cyber chez Zscaler, précise : « nous disposons d'un ensemble de rapports très précis depuis notre plateforme CRQ (Cyber Risk Quantification). Celle-ci peut afficher les risques dans quatre quadrants clés concernant la performance d'une entreprise : ses notes, ses pairs, la surface d'attaque, la compromission, la propagation latérale (par exemple, les rançongiciels), et la perte de données. À partir de là, nous pouvons présenter des données très précises sur les objectifs atteints et dépassés, ainsi que sur les points à améliorer. Grâce à cette plateforme, nos clients peuvent communiquer au conseil d'administration le niveau de risque auquel ils sont exposés, passé, présent et hypothétiquement futur. C'est ce qu'apporte la modélisation ».

La cyberassurance représente un nouveau terrain de jeu pour Zscaler. En effet, comme le mentionne son titre, Stephen Singh est à l’origine responsable fusions/acquisitions. Et c’est dans ce cadre que l’activité a démarré : lors d’opérations de ce type, les acheteurs veulent avoir une idée très précise des actifs informatiques et de leur sécurisation. Est donc intervenue la mise en place de l’architecture Zero Trust à des fins d’inventaire du patrimoine informationnel et de leur sécurisation.

Dans un second temps, le marché s’est étendu aux sociétés de Capital-Risque dans le cadre de leurs investissements potentiels dans différentes entreprises.

L’extension à la cyber assurance est donc devenue naturelle : « l'objectif est d'aider nos clients à obtenir des polices d'assurance plus avantageuses. L'enjeu principal est que, si nous parvenons à réduire les sinistres et les pertes comme nous le pensons, cela profitera encore davantage aux souscripteurs, car cela leur permettra de réduire leur ratio sinistres-primes, c'est-à-dire le montant qu'ils versent par rapport à leurs recettes », explique Stephan Singh.

Car, relève-t-il, « évidemment, plus le ratio est bas, plus la rentabilité est élevée. Notre message est donc le suivant : nous agissons ainsi pour aider les clients à obtenir des polices plus avantageuses, mais surtout pour le secteur de la cyber-assurance, afin de les aider à améliorer leur ratio sinistres-primes, à accroître la rentabilité de leur activité cyber assurance et de leurs activités d'assurance dommages, et à souscrire davantage de polices pour les clients qui ont besoin d'un transfert de risque ».