Grandes oubliées des assureurs sur les problématiques de cybersécurité, les PME pourront désormais compter sur une offre taillée sur mesure. Deux insurtechs françaises, Stoïk et Acheel, annonce le lancement d’un produit mêlant audit de sécurité et assurance.
On ne cesse de l’entendre, dans les conférences, au FIC, dans les rapports du Sénat… les PME sont laissées pour compte en ce qui concerne les assurances cyber. Le sujet est complexe et il ne s’agit pas, forcément, de jeter la pierre aux assureurs. Toujours est-il que les structures les plus modestes n’ont guère la possibilité de s’assurer contre le risque cyber, avec ce que ce défaut implique de menace de faillite, ou ne serait-ce que de soutien en cas d’attaque.
Deux insurtech françaises entendent répondre à cette problématique. Stoïk, forte d’une levée de 3,8 millions d’euros, et Acheel viennent d’annoncer s’être adossées à un grand réassureur, dont l’identité est gardée secrète, pour lancer une offre d’assurance cyber taillée pour les PME.
D’un côté, une brique logicielle, fournie par Stoïk, réalise un audit de sécurité, un scan automatisé et externe avant la souscription de l’assurance, qui cartographie le réseau des PME afin de détecter vulnérabilités, données compromises (emails des employés, mots de passe, etc.), configuration des serveurs et réputation de l’entreprise en ligne.
Tous ne seront pas élus (ni éligibles)
Ce premier scan permet apparemment de séparer le bon grain de l’ivraie, l’offre d’assurance cyber n’étant pas proposé à des sociétés dont le risque est trop élevé. Stoïk propose également une « checklist personnalisée pour réduire l’exposition au risque », soit des actions à mettre en œuvre telles que la réinitialisation des mots de passe ou l’application de correctifs. Et c’est seulement à ces conditions qu’une PME pourra être assurée (et en cas de vulnérabilité découverte chez un assuré, celui-ci a un mois et demi pour patcher, sans quoi son contrat s’expose à une résiliation.
La partie assurance est donc assurée par Acheel et par le mystérieux réassureur. Sont comprises une assistance téléphonique 24/7, aussi bien technique que juridique et communicationnelle, la responsabilité civile, à la suite d’une fuite de données et de la plainte qui va avec par exemple, ainsi que la couverture des pertes de marge brute d’exploitation. La remise en état du SI est également couverte.