Cyberassurance : Stoïk étudie la surface d’attaque exposée pour évaluer le risque

C’est début 2021 qu’est née Stoïk, une jeune pousse à l’ambition d’apporter une réponse assurantielle au risque cyber pour les PME. Jules Veyrat, PDG et co-fondateur de Stoïk, explique que la démarche a notamment été motivée par « l’écart entre le niveau de perception du risque et le niveau d’action face à celui-ci ». Et de revendiquer une « solution simple et abordable » pour se protéger, en combinant « assurance et outils d’évaluation » de l’exposition au risque, mis à disposition gratuitement. L’approche a notamment su convaincre Swiss Re et Acheel. Alors même que « trouver un assureur et un réassureur motivés par l’idée, c’est le plus compliqué », de l’aveu même de Jules Veyrat. Mais passée cette étape, Stoïk a en outre réussi à lever 3,8 millions d’euros et revendique déjà de premiers clients.

Il faut dire que, comme beaucoup, Stoïk est confronté à une difficulté : le manque de données historiques. C’est notamment cela qui avait motivé des assureurs à s’associer à la création du groupement d’intérêt public (GIP) Acyma, annoncée début 2017. À l’époque de l’annonce de ce GIP, qui opère aujourd’hui le portail Cybermalveillance.gouv.fr, Guillaume Poupard n’avait pas manqué de souligner l’enjeu : « il faut être capable d’assurer le risque résiduel. Mais sans éléments quantitatifs, les assurances ont du mal à proposer des offres qui soient viables ». La situation actuelle de la cyberassurance ne fait que le confirmer. Au printemps dernier, l’Association pour le management des risques et des assurances de l’entreprise (AMRAE) n’avait d’ailleurs pas manqué de souligner les déséquilibres d’un marché confronté à l’explosion de la menace des ransomwares.

Cette difficulté, Alexandre Andreini, autre co-fondateur de Stoïk et précédemment consultant chez Wavestone, est bien loin de la nier : « l’évaluation des coûts à couvrir est très compliquée. Nous n’avons pas de réponse définitive fixée. Et personne n’a de données historiques suffisantes ». Avec humilité, il explique ainsi que les modèles mathématiques de Stoïk sont appelés à s’affiner avec le temps. Pour l’heure, la jeune pousse s’est basée sur l’étude de la tarification de ses concurrents pour établir une structure tarifaire de démarrage.

Mais Stoïk s’attaque à une autre difficulté : l’évaluation du risque. Traditionnellement, celle-ci s’est basée sur des questionnaires, qui n’ont pas manqué de montrer, au moins parfois, leurs limites, sinon d’interroger sur la capacité des souscripteurs à jauger leurs prospects.

Stoïk s’appuie ainsi sur un balayage externe de ce qu’expose son prospect sur Internet : il s’agit d’évaluer, de l’extérieur, et de manière aussi automatisée que possible, la posture de sécurité du prospect.

Tout part des noms de domaine déclarés par celui-ci. S’en suit derrière une énumération des domaines connexes et sous-domaines, ou encore des hôtes associés, à partir de données publiques telles que les enregistrements DNS ou les certificats numériques. L’outil de reconnaissance libre Nuclei est notamment mis à contribution pour repérer d’éventuelles vulnérabilités sur la surface d’exposition.

Cela ne s’arrête pas là : la réputation du domaine et des adresses IP est également prise en compte, de même que l’exposition de services d’accès distants au système d’information, ou encore la configuration des services de messagerie électronique, voire la présence de données associées à des adresses liées aux noms de domaines de l’entreprise, dans des fuites connues, les fameux leaks.

Ces informations techniques permettent d’éviter les prospects présentant des facteurs de risque trop élevés, comme des vulnérabilités critiques connues pour être exploitées par des cyber-malfaiteurs. Du moins tant qu’elles n’auront pas été corrigées.

« Nous voulons avoir une trame minimale dans chacun des aspects du risque afin de protéger nos clients contre les attaques les plus triviales. »

Mais pas question pour autant de faire l’impasse sur le volet questionnaire. Car, comme le souligne Alexandre Andreini, « le balayage externe ne suffit pas ; cela a été démontré ». Surtout, certaines questions sont essentielles, en particulier celles portant sur la sécurité des accès distants, l’authentification à facteurs multiples, ou encore les pratiques relatives aux sauvegardes : « à partir du moment où l’on refuse de payer les rançons, celles-ci sont indispensables pour pouvoir relancer l’activité en cas de chiffrement ».

Après, explique Alexandre Andreini, il s’agit de tenir compte du chiffre d’affaires, ou encore du secteur d’activité – certains présentent une maturité plus élevée que d’autres, en matière de gestion du risque cyber –, ainsi que de l’impact d’une cybersécurité.

Plus loin, Stoïk prévoit d’étendre encore ses efforts d’analyse, à l’interne cette fois-ci, avec l’examen sommaire de l’environnement Active Directory, par exemple, afin d’encourager à revoir des architectures trop aisément attaquables par des cyber-malfaiteurs. Et s’ajouteront à cela également des partenaires pour relever le niveau globalement des capacités de prévention, de protection, et de détection.

Alexandre Andreini résume ainsi l’approche : « nous voulons avoir une trame minimale dans chacun des aspects du risque afin de protéger nos clients contre les attaques les plus triviales ». Et n’avoir dès lors à assurer qu’un risque véritablement résiduel : « il y a des attaquants très compétents. L’assurance est là pour ça. Il s’agit de pouvoir bloquer tous les autres ».