H_Ko - stock.adobe.com
Cyberassurance : l’essentiel sur Dattak
Le grossiste en assurance cyber s’est initialement lancé sur le segment des PME en 2021, avec l’ambition d’inscrire ses clients finaux dans un cercle vertueux d’amélioration de leur posture de sécurité. Aujourd’hui, Dattak étend son offre aux ETI.
C’est en 2021 que commence, pour Charlotte Couallier, l’aventure Dattak. Voire même un peu plus tôt. Dans un entretien avec la rédaction, la cofondatrice et directrice générale du courtier grossiste en assurance cyber explique que l’idée a germé avant cela. Passée notamment par CNP Assurances et Axa, et alors forte de déjà 15 ans d’expérience dans le secteur, elle a vu régulièrement des « chefs d’entreprise qui cherchaient à se protéger contre les cyberattaques, à partir de 2019 », puis très rapidement, « le durcissement des conditions d’accès à l’assurance », ainsi que le manque « d’accompagnement pour expliquer aux entreprises les prérequis et ce qu’elles devaient faire pour s’assurer ».
Initialement, l’offre de Dattak s’est concentrée sur les PME, jusqu’à 50 millions d’euros de chiffre d’affaires – en indirect, via les courtiers. À la fin du printemps, elle a été étendue pour répondre aux demandes concernant des entreprises de taille intermédiaire, jusqu’à 200 millions d’euros de chiffre d’affaires.
Comme pour d’autres, à l’instar par exemple de Stoïk, pas question de retomber dans certaines erreurs historiques, à savoir une prise en compte insuffisante de la posture de sécurité réelle des entreprises.
Charlotte CouallierCofondatrice et directrice générale, Dattak
Ainsi, explique Charlotte Couallier, « nous analysons la posture de cybersécurité de l’entreprise à la fois d’un point de vue externe, avec un scan que nous avons développé et qui constitue une solution propriétaire, et un scan interne ». Pour les entreprises au-delà de 75 millions d’euros de chiffre d’affaires, s’ajoute à cela un audit interne dans le cadre duquel le DSI est sollicité. « Cet audit est pour moitié automatisé et pour moitié humain, parce que l’on pense que les deux sont nécessaires pour analyser la posture globale de l’entreprise » et, si besoin, l’améliorer afin de rendre l’organisation assurable.
Alexia Morot, responsable de l’offre cyber de Dattak, et ancienne consultante du cabinet Wavestone passée chez le réassureur SCOR, illustre : « l’idée est d’avoir une approche à 360 degrés, avec une vue externe comme celle que pourrait avoir un attaquant, et de prendre la mesure de la situation en interne avec un questionnaire cyber et un échange privilégié avec le DSI et le RSSI de l’entreprise ».
L’examen externe couvre nombre de bases, des enregistrements DNS aux vulnérabilités affectant éventuellement des systèmes exposés sur Internet, en passant la recherche d’éventuelles fuites de données et aux identifiants disponibles sur le Dark Net, ou encore de plus classiques efforts de dorking. L’idée est simple, résume Alexia Morot : « se mettre dans la peau d’un pirate ».
Le but de l’opération est clair : « permettre aux entreprises de s’améliorer », pour que l’assurance ne soit effectivement là que pour couvrir un risque résiduel.
Dans cette perspective, le questionnaire, pour le volet interne de la posture de cybersécurité, se veut digeste, mais surtout concentré sur l’opérationnel. L’aspect gouvernance n’est pas oublié, mais concerne surtout les plus grandes entreprises.
La recherche et l’analyse de chemins de progression de l’attaque dans le système d’information, par exemple jusqu’à la prise de contrôle de l’environnement Active Directory, ne sont pas imposées à la souscription. C’est toutefois proposé comme service additionnel.
Un risque encore difficile à traiter
Si la demande est là, y répondre n’est pas forcément trivial. Charlotte Couallier le concède : « c’est un risque nouveau qui est moins palpable que le risque incendie », dès lors, c’est un sujet « sur lequel on travaille avec les courtiers », notamment pour « les faire monter en compétences aussi sur l’appréhension du risque cyber ».
Elle relève tout de même que certains courtiers sont désormais « vraiment des spécialistes du cyber », des anciens analystes cyber. Reste qu’au final, « tous les courtiers n’ont pas le même niveau et donc clairement, on les accompagne avec des outils d’aide, de la formation, du e-learning, des webinars ou même en roadshow auprès de leurs clients ».
Concrètement, précise Alexia Morot, cela peut notamment se traduire par « des fiches métiers, pour accompagner les courtiers sur des secteurs donnés, où seront précisés les risques spécifiques, assortis d’exemples d’attaques survenues ». De quoi rendre le risque plus tangible.
Côté client final (les entreprises), selon Charlotte Couallier, la prise de conscience de la menace progresse chez les ETI : « c’est pour ça que l’on a de plus en plus de demandes ». Pour autant, « elles ne sont pas toutes à niveau en cybersécurité ».
Mais là où les marges de progression sont les plus importantes, c’est pour les PME : « les PME sont moins sensibilisées, et ont l’impression que ça n’arrive qu’aux autres ou aux entreprises plus grosses ». Partant donc de « très très très bas », la progression est forte, d’une année sur l’autre.
Dès lors, l’une des exigences de base concerne les sauvegardes hors ligne, afin de pouvoir relancer l’activité au plus vite, en reconstruisant, en cas d’attaque. Car lorsqu’elle survient, l’assuré n’est pas seul : il peut compter sur l’assistance d’Inquest, partenaire de Dattak depuis 2021.
Le 30 août, Dattak a annoncé avoir levé 11 millions d’euros en série A. Ce financement doit permettre d’accompagner le développement de l’offre à destination des ETI, mais également de doubler la taille de ses équipes, étendre sa gamme d’outils, et encore « consolider l’expérience des courtiers partenaires ».