Stoïk révèle les résultats de son premier rapport de sinistralité observé sur son propre portefeuille. Le MGA tricolore met notamment en garde sur les risques de compromission des boîtes mails et sur l’importance du facteur humain dans l’origine des attaques.

Lancé en 2021, Stoïk a ouvert le capot de son propre portefeuille pour analyser la sinistralité de ses assurés. Le MGA, actif en France et en Allemagne revendique aujourd’hui près de 10M d’euros de primes placées en 2023, pour « plusieurs milliers » de polices en portefeuille.

L’agence de souscription observe d’abord une fréquence de sinistres de 3,87% sur l’ensemble de son portefeuille, dont 1,63% dus à des compromissions de messagerie (et 0,75% à cause de ransomware). « En termes de fréquence de sinistres, Stoïk se situe à un niveau inférieur de celui du marché, notamment grâce à la qualité de souscription de notre portefeuille et plus particulièrement sur les risques complexes », explique Jules Veyrat, co-fondateur et CEO.

En termes de volume cette fois, plus de 42% des sinistres sont également dus à des compromissions de boîtes mails, contre 21,7% à la fraude et 19,4% aux ransomware. « Nous considérons que beaucoup de nos clients, même s’ils ont la maturité suffisante et une qualité de sauvegarde de leurs données suffisante, peuvent tout de même se faire attaquer. Le facteur humain reste le facteur premier d'attaques, à 82% sur notre portefeuille. Cela veut dire aussi que nous arrivons à limiter le facteur technique », précise Jules Veyrat.

Rapidité de réponse

Stoïk, qui a détaillé son process de réponse à incident, indique qu’une fois le sinistre ouvert, le MGA est en capacité de procéder à une analyse technique puis de mettre en place les plans de continuité, de communication et de défense avant un retour à la normale en moyenne en 6h sur son portefeuille.

L’agence de souscription indique par ailleurs que pour 75% des cas de ransomwares rencontrés, l’activité de l’entreprise est relancée en moins d’une semaine. « la remédiation, le fait de disposer de sa propre équipe de réponse à incident, nous permet d’agir de manière très efficace et de limiter la perte d’exploitation d’une entreprise. Nous avons une franchise de 12h sur nos contrats, notre intérêt est de pouvoir faire repartir rapidement l’activité de nos assurés, surtout si 300.000 euros de marge brute est mise en jeu chaque jour… », précise le CEO.

Avec des demandes de rançons qui atteignent en moyenne 700.000 euros sur son portefeuille, Stoïk précise que ce montant varie suivant les typologies d’entreprise. « En cas de demandes de rançons, c’est nous qui prenons la main, d’abord pour négocier pour le compte de nos clients et vérifier si des sauvegardes n’ont pas été chiffrées. In fine, les entreprises ne peuvent payer qu’en cas d'ultime recours et seulement avec notre accord », ajoute Jules Veyrat. Et ce dernier d’ajouter : « sur la typologie d’entreprises qui compose notre portefeuille, nous sommes plus à l’aise sur les risques de first-party comme les industries manufacturières, car la quantification d’un arrêt de la production et d’une perte d’exploitation est plus facile. Nous avons aussi des risques de third-party comme des cabinets d’avocats par exemple, mais pour qui les données sensibles qu’ils détiennent sont plus complexes à appréhender ».

Sécurité des boîtes mails

Le MGA alerte également sur la fraude aux faux ordres de virement (avec un montant moyen détourné chez ses assurés de 47.500 euros sur ce type de sinistre). Il pointe par ailleurs le fait que les PME et ETI restent toujours des cibles de choix pour les attaquants. Stoïk met notamment en exergue chez ces entreprises l’absence de MFA, des mots de passe faibles, ou encore des mises à jour non réalisées, souvent par manque de budget, de formation et de sensibilisation.

« Avant que nous intervenions sur une attaque, nos démarches de prévention proactives nous permettent d’écarter un gros volume d’incidents critiques (environ 10 par semaine en 2023) pour nos clients les plus exposés. Certes, nous travaillons à avoir une meilleure fréquence mais nous ne voulons pas non plus être la voiture balai du marché. Nous assumons donc de ne pas être les mieux disant du marché, tant en termes de tarifs et que de conditions de souscription », conclut Jules Veyrat.