petzshadow - Fotolia

Cyquant veut combiner prévention et assurance de la cybersécurité

La jeune pousse suisse cherche à créer un cercle vertueux entre assureurs et consultants en sécurité informatique, pour amener les entreprises à réduire leur exposition tout en couvrant le risque résiduel.

Thierry Murté n’a pas attendu que Moody’s se tourne vers Team8 pour se pencher sur la question de la notation du risque cyber. Il s’est lancé début 2018, fondant Cyquant à Zurich. Il met ainsi à profit une double expérience professionnelle de l’informatique et de l’assurance, pour proposer une alternative à des approches jusqu’alors variées et disparates, avec des services comme ceux de Bitsight, Cyrating, Provadys, ou encore Cyence et SecuritySecorecard.

Prise en compte de la dimension technique du risque

Dans un entretien téléphonique avec la rédaction, Thierry Murté explique son objectif : combler le fossé entre le risque auxquel sont confrontées les entreprises, dont en particulier les PME, et l’étendue de son assurance effective. Car selon lui, même si les offres assurantielles existent – et même se sont multipliées au cours des dernières années –, il reste une certaine « réticence ». Pour le fondateur de Cyquant, il s’agit donc d’apporter des éclairages à de nombreuses zones d’ombre.

Thierry Murté estime ainsi que les PME « sont celles qui ont le plus besoin de protection, d’assurance, et aussi de comprendre les risques ». Pour les aider, Cyquant mise donc sur une plateforme qui va aider à identifier les faiblesses. Cela passe notamment par l’analyse de rapports de vulnérabilités comme ceux que peuvent produire les outils de Qualys ou encore un OpenVas. De là, des partenariats avec des prestataires spécialisés doivent permettre d’améliorer la posture de sécurité de l’entreprise. Surtout, la plateforme de Cyquant indique comment la mise en œuvre de mesures de prévention complémentaires peut affecter le montant de la prime d’assurance.

Un questionnaire soigneusement élaboré

L’approche assurantielle n’est pas oubliée. Thierry Murté explique ainsi s’appuyer également sur « les caractéristiques de l’entreprise », collectées à partir d’un questionnaire dédié. Lequel n’est assurément pas établi à la légère : « c’est un sujet en soi. Certains grands ré-assureurs y vont sans questionnaire ; un de nos concurrents aux Etats-Unis verse dans l’autre extrême, en posant des milliers de questions. C’est une autre vision ».

Pour établir son questionnaire, Cyquant s’est associé à l’université de Zurich et l’ETH, mais également à des spécialistes de la cybersécurité et à des souscripteurs : « je ne vous cache pas que cela a pris pas mal de temps », pour aboutir à un questionnaire « élaboré ».

Pas question non plus d’être naïf : comme une récente étude de CyberVadis le souligne, les entreprises ont tendance à enjoliver les choses lorsqu’il s’agit de s’auto-évaluer ou de répondre à un questionnaire. Ce biais déclaratif est ainsi pris en compte dans les simulations réalisées pour modéliser l’exposition des entreprises. Mais ce n’est pas tout : dans leur intervention, les partenaires prestataires sont appelés à contrôler l’exactitude du déclaratif.

Sécurité, gestion du risque : un processus dans la durée

A partir de l’ensemble de ces éléments, les algorithmes de la plateforme de Cyquant vont réaliser des simulations devant permettre de quantifier le risque. Et il ne s’agit pas que de travailler à un instant donné : l’exposition doit être suivie dans le temps, pour tenir compte du comportement de l’entreprise à l’égard des vulnérabilités présentes dans son environnement, afin que les notations évoluent en conséquence, de même que la tarification proposée.

Les assurances ont également un intérêt à cela. Car la plateforme de Cyquant peut les aider à gagner une visibilité plus granulaire sur leur portefeuille et sur l’accumulation des risques. Un algorithme dédié se charge d’établir les corrélations entre les risques et d’exposer les scénarios qui seraient susceptibles d’affecter l’assureur concerné. Au passage, fréquence et sévérité sont modélisées de manière distincte. Et à cela s’ajoutent des évaluations moyennes de coût pour différents événements.

Avec ces données, Cyquant veut aider les assurances à investir prudemment un territoire sur lequel elles ne disposent pas de bases de données historiques telles que celles sur lesquelles elles peuvent s’appuyer pour des risques matériels.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close