00:00La French Tech aujourd'hui c'est avec Jules Vérat. Bonjour, vous êtes le cofondateur et directeur général de Stoic.
00:05Stoic qui travaille dans la cybersécurité et dans l'assurance.
00:08On est de lever 20 millions d'euros, un tour de table mené par Impala.
00:12Alors évidemment quand on entend ces mots ça fait ding ding dans notre oreille à BFM Business.
00:16Vous êtes le fils de Jacques Vérat, vous c'est pas ni l'énergie ni les télécoms qui vous intéressent.
00:20Ce sont les risques pour les entreprises et les cyberattaques.
00:24C'est quoi aujourd'hui le plus gros risque pour la PME vraiment de taille moyenne ?
00:29C'est d'avoir oublié de s'assurer ?
00:33Le plus grand risque c'est de se faire attaquer.
00:35Il y a l'assurance mais il y a aussi plein de cybersécurité à mettre face à la menace.
00:40Je dirais qu'il y a deux formes de risques pour une PME traditionnelle.
00:44Le premier c'est le ransomware.
00:46C'est un type d'attaque, on en gère deux ou trois par semaine sur notre portefeuille de clients.
00:52Le ransomware c'est quand un attaquant prend le contrôle du système informatique
00:55et le rend inaccessible à toute l'entreprise, chiffre les données et demande à ce qu'on lui paye une
00:59rançon.
00:59En l'échange de l'accessibilité de cette donnée.
01:02Donc vous avez 11 000 clients, aujourd'hui c'est deux à trois fois par semaine que vous gérez ça
01:06pour les 11 000 clients ?
01:07Sur les 12 derniers mois on a géré 700 cyberattaques.
01:10Le ransomware ce n'est pas le plus fréquent, c'est celui qui fait le plus mal.
01:12C'est vraiment des entreprises, il faut voir, des PME.
01:15On va parfois en Bourgogne gérer une entreprise qui fait des tambours.
01:21Et l'usine est à l'arrêt.
01:23Les ouvriers rentrent chez eux parce que le dirigeant dit j'ai plus rien qui tourne.
01:26Et donc on intervient pour les aider à repartir.
01:27Ça, ça fait mal, ça peut coûter très cher et ça peut mettre les entreprises au tapis.
01:31Et ensuite le deuxième type de menace c'est la fraude.
01:33La fraude c'est le type d'attaque qui est en plus le plus propulsé par l'intelligence artificielle.
01:37Malheureusement c'est des petites fraudes ou des plus grosses fraudes
01:41où les attaquants détournent des virements.
01:43Et ça c'est quelque chose qu'on voit énormément chez les entreprises de toute taille évidemment.
01:47Anthony ?
01:47Avec aussi deux nouveaux types d'attaques qui sont rendus possibles par l'IA.
01:50Alors un, j'allais dire un vieux classique qui se réinvente avec l'IA,
01:53c'est le phishing qui devient de plus en plus efficace
01:56parce qu'on peut cibler les gens de manière extrêmement précise
01:58en se faisant passer pour un opérateur, une banque ou autre.
02:01Et alors là où je voulais vous entendre c'est sur les nouvelles menaces
02:03type, on parlait des IA vidéo absolument incroyables,
02:07mais avec des deepfakes et donc des arnaques au président.
02:09Est-ce que vous êtes ressoumis à ça aujourd'hui ?
02:12C'est-à-dire on a eu des histoires incroyables
02:14où en gros vous êtes face à votre directeur financier en visio,
02:17on vous demande de faire un virement bancaire,
02:19vous avez l'impression que c'est vraiment lui
02:20et en fait il s'avère que c'était un deepfake complet.
02:22Ça c'est des choses qui commencent à arriver en France par exemple ?
02:25C'est des choses qui commencent à arriver.
02:26Alors la finalité de ces deux types d'attaques,
02:28c'est la fraude souvent ou le ransomware.
02:30À la fin ce que veut l'attaquant qui fait ça,
02:33c'est gagner de l'argent,
02:34c'est extorquer de l'argent à nos entreprises européennes
02:37et on voit de plus en plus de ce type d'attaques
02:39qui utilisent l'intelligence artificielle
02:40pour faire une action aux dirigeants d'entreprises
02:44qu'ils ne devraient pas faire.
02:44Parce qu'il faut dire que les cybercriminels,
02:46ils réfléchissent aussi en chef d'entreprise si l'on peut dire.
02:49Ils ont une logique de retour sur investissement,
02:51ils voient quel type d'attaque fonctionne,
02:52ne fonctionne pas
02:53et ils vont vers le marché le plus porteur d'une certaine manière.
02:55Mais est-ce que vous assurez tout ?
02:56C'est-à-dire que...
02:59Même pour les trucs les plus basiques
03:01ou parfois c'est de la faute humaine classique ?
03:04Alors la thèse de Stoïk,
03:05c'est d'associer une couverture d'assurance
03:09avec des logiciels et une expertise en cybersécurité
03:12pour pouvoir intervenir après l'attaque,
03:14pendant l'attaque, avant l'attaque.
03:15Après, par l'indemnisation des pertes,
03:18quand il y a eu une cyberattaque,
03:19et donc oui, on indemnise beaucoup des entreprises
03:22qui ont été par exemple à l'arrêt pendant quelques jours,
03:25on regarde la perte de marge brute
03:26qu'ils ont réalisée pendant ces jours-là
03:28et on les indemnise de la perte.
03:30Mais vous ne dites pas à un moment,
03:31vous n'aviez qu'à former vos salariés,
03:33là je ne prends pas en charge ce risque ?
03:34C'est le principe de l'assurance,
03:36quand on s'assure pour son automobile,
03:37on doit faire des déclarations,
03:39si elles ne sont pas respectées,
03:41au moment de l'incident,
03:43quand on a un accident,
03:45on n'est pas assuré.
03:46Typiquement sur un ransomware,
03:47vous avez une demande de rançon d'un million d'euros
03:50parce qu'il y a un salarié
03:51qui a ouvert une pièce jointe qu'il ne fallait pas,
03:54il a laissé l'accès au système
03:56et c'est comme ça qu'on a pu verrouiller le système.
03:57Non, ça c'est le risque qu'on couvre.
03:59Ah bon, donc là vous remboursez ?
04:00Bien sûr, c'est le principe de l'assurance,
04:04c'est de couvrir des risques qui existent.
04:05Après, notre mission à nous,
04:06c'est d'essayer de faire en sorte
04:08que ça n'arrive pas,
04:09de mettre à disposition de nos assurés,
04:12par exemple,
04:12des outils de simulation de phishing
04:14pour qu'ils forment leurs employés
04:15à se sensibiliser au sujet.
04:17Ça ne fait pas un risque zéro,
04:19mais c'est le principe.
04:20Il y a une partie du risque
04:21qu'ils peuvent maîtriser,
04:22sur lequel ils doivent agir,
04:24mais il y a une partie du risque résiduel
04:25qui ne sera jamais nul
04:26et c'est à ça que sert l'assurance.
04:27Et vous avez l'impression que,
04:28là, dans les salariés,
04:29on arrive à avoir une petite alerte.
04:31Anthony disait,
04:32la fraude au président,
04:33c'est quand même compliqué.
04:35Vous arrivez à mettre dans la tête des salariés
04:36l'idée qu'il faut que ça clignote
04:38et qu'on se dise,
04:38attention, c'est peut-être pas lui,
04:40il faut vérifier ?
04:41C'est quelque chose qui peut se faire
04:43par de la sensibilisation,
04:44c'est quelque chose qui peut se faire
04:45par de la technologie.
04:46Nous, on construit des outils
04:50nourris d'intelligence artificielle,
04:51notamment pour surveiller ce qui se passe
04:53dans le système informatique des entreprises
04:54et pour pouvoir détecter l'attaque
04:56avant qu'elle ait lieu.
04:57Donc, par exemple,
04:58on surveille les boîtes mail
04:59des assurés
05:00et on regarde quand il y a un mail
05:01qui a l'air suspicieux
05:02parce qu'un ton d'urgence...
05:04Une couche de contrôle, quoi.
05:05Exactement, une couche de contrôle.
05:06C'est encore une fois toute la thèse,
05:07nos assurés,
05:08ils ne veulent pas se faire attaquer.
05:09Nous, on assure les entreprises,
05:11on gère quand elles se font attaquer,
05:12on les indemnise,
05:12on ne veut pas qu'elles se fassent attaquer.
05:13Et c'est pour ça qu'on crée
05:14toute cette cybersécurité.
05:15Et du coup,
05:16si elles mettent en place
05:17tous ces dispositifs de prévention,
05:24plus l'entreprise est protégée
05:26et plus le risque est bon
05:28de notre point de vue,
05:29moins l'entreprise va payer cher
05:30sa prime d'assurance.
05:30Ce qu'on voit quand même,
05:31c'est que les PME,
05:32alors c'est vrai que je pense
05:34que l'évangélisation fait son travail,
05:35mais elles ne sont pas encore
05:36tout à fait prêtes.
05:36Il y a eu un indicateur,
05:37un baromètre national
05:38de la maturité cyber
05:39des TPE-PME
05:40publié il y a quelques mois
05:41qui montrait qu'il y a 16%
05:42des entreprises
05:43qui ont été victimes
05:44d'un ou plusieurs incidents
05:45de cybersécurité
05:46au cours des 12 derniers mois
05:47et il y a 80% des TPE
05:49qui reconnaissent
05:50qu'elles ne sont toujours pas
05:50préparées aux attaques.
05:51Ça, c'est quelque chose
05:52que vous observez aussi
05:53sur le terrain ?
05:55Il y a urgence
05:55à protéger plus d'entreprises.
05:58Vraiment,
05:58on a 11 000 entreprises assurées,
06:01c'est rien.
06:01On a envie de pouvoir équiper
06:04les millions d'entreprises
06:05en Europe
06:05qui tous les jours
06:06subissent des centaines
06:08de milliers de tentatives
06:08d'attaques.
06:10Et donc, évidemment
06:10que la plupart des petites entreprises
06:11sont trop peu protégées
06:13et ont besoin
06:13de se faire accompagner.
06:14Mais votre rythme d'acquisition client
06:15c'est quand même 600 à 700 par mois.
06:17Oui, on a fait le choix
06:19d'un modèle qui est très rentable,
06:20qui est intermédié,
06:22c'est-à-dire qu'on ne parle jamais
06:23aux clients en direct,
06:24c'est toujours un courtier en assurance
06:25qui va vendre notre produit
06:26à son client.
06:27Et on est dans 6 pays aujourd'hui,
06:28la France, l'Allemagne, l'Autriche,
06:29l'Espagne, la Belgique, le Luxembourg.
06:31On en ouvre à peu près
06:32un ou deux par an.
06:33Ce qui nous permet
06:34d'avoir des grands volumes de courtiers
06:35qui vendent à des grands volumes
06:36de clients notre assurance.
06:38Et ce qui marche,
06:39c'est évidemment que c'est couplé
06:39avec de la cybersécurité.
06:40Merci beaucoup d'être venu
06:42ce matin dans la matinale
06:43de l'économie.
06:44Jules Vérat,
06:44le cofondateur et directeur général
06:46de Stoïc.
Commentaires