Rechercher

Comment deux anciens espions ont pénétré le marché de l’assurance cybernétique, d’une valeur de 11 milliards de dollars

cybernétique
Parapluie sur fond technologique abstrait. Getty Images

Les fintechs Coalition et At-Bay, fondées par des vétérans de la sécurité et des agences d’espionnage, utilisent leur intelligence technologique pour transformer le secteur en pleine croissance de la protection des entreprises contre les pirates informatiques.

Un article de Jeff Kauflin pour Forbes US – traduit par Lisa Deleforterie

 

En novembre 2022, des ordinateurs russes scannaient subrepticement des ordinateurs américains lorsqu’ils sont tombés dans un piège : un réseau de 400 serveurs virtuels dont les adresses IP semblaient appartenir à des entreprises et des organisations réelles. Sauf qu’il s’agissait de leurres mis en place par Coalition, une fintech basée à San Francisco qui combine l’une des plus anciennes industries du monde – l’assurance – avec des techniques de pointe pour détecter les cybermenaces. « Il n’y a aucune raison légitime pour que quelqu’un essaie de se connecter à l’un de ces serveurs », explique Joshua Motta, PDG et cofondateur de Coalition, un ancien analyste de la CIA âgé de 40 ans.

Coalition a constaté que les intrus recherchaient la présence de MOVEit, un programme utilisé pour transférer des fichiers volumineux, contenant souvent des informations confidentielles. Elle a envoyé un courrier électronique à quatre de ses clients de cyberassurance qui avaient installé MOVEit sur le périmètre extérieur de leur réseau, les invitant à placer le logiciel derrière un réseau privé virtuel.

Six mois plus tard, Progress Software, l’entreprise du Massachusetts qui vend MOVEit, a annoncé qu’il présentait une vulnérabilité critique et a publié un correctif. Mais le célèbre gang de rançongiciels russophone Clop avait déjà exploité la faille pour s’infiltrer profondément dans les réseaux de certaines organisations et ne manquait pas d’exiger un paiement pour ne pas divulguer les données volées. Coalition a de nouveau analysé ses clients et a constaté que 19 d’entre eux, dont le chiffre d’affaires était compris entre 10 millions (9,3 millions d’euros) et 1 milliard de dollars (930 millions d’euros), utilisaient désormais le programme. Elle leur a envoyé un courriel urgent leur demandant d’appliquer le correctif MOVEit. En l’espace d’un mois, 14 d’entre eux l’avaient fait.

Cette vigilance semble avoir porté ses fruits. Jusqu’à présent, aucun des 85 000 clients de Coalition n’a déposé de réclamation liée à MOVEit. C’est plutôt satisfaisant, si l’on considère que des milliers d’organisations et plus de 90 millions d’individus auraient vu leurs données d’entreprise ou personnelles exposées par la faille.

Depuis 2017, Coalition et son concurrent le plus proche, At-Bay, également basé à San Francisco, réinventent la manière dont la cyber-assurance est souscrite et gérée, en particulier pour les clients de petite et moyenne taille. Les assureurs traditionnels semblaient désespérément déconnectés, envoyant à leurs clients potentiels des formulaires posant des questions aussi élémentaires que celle de savoir s’ils avaient installé un logiciel antivirus. Les nouveaux venus, en revanche, analysaient les systèmes des clients potentiels comme le ferait un pirate informatique. Parfois, ils exigeaient des mises à jour de sécurité spécifiques avant d’accepter de les assurer. D’autres fois, ils les refusaient tout simplement.

M. Motta explique que Coalition a rejeté la demande de couverture d’un district scolaire du Texas en 2020 parce que ses analyses de souscription montraient que certaines de ses adresses IP « communiquaient avec l’infrastructure de commande et de contrôle d’un groupe de pirates informatiques connu ». Lorsque le district s’est représenté cinq mois plus tard, Coalition a appris qu’entre-temps, il avait été piraté et avait déposé une demande d’indemnisation de 2 millions de dollars (1,8 million d’euros) auprès d’un autre assureur qui n’avait pas fait preuve d’autant d’intelligence en matière de souscription.

Même après avoir accepté un client, Coalition ou At-Bay continuent de l’analyser et d’envoyer des alertes pour contrôler leurs risques et ceux de leurs clients. En fait, les petites entreprises qui n’ont pas l’habitude de payer pour des services de cybersécurité autonomes mais qui sont prêtes à payer pour une assurance obtiennent les deux, qu’elles le veuillent ou non. Rotem Iram, PDG et cofondateur d’At-Bay, décrit une bataille constante pour amener les clients à prendre le risque au sérieux. « Les gens ne se soucient pas de la sécurité », se plaint-il. « Lorsque vous travaillez trop longtemps dans le domaine de la sécurité, vous pensez que tout le monde s’en préoccupe comme vous. Mais personne ne s’en préoccupe. » Si un client insiste pour installer un logiciel notoirement vulnérable, At-Bay le menace de doubler ses primes d’assurance.

 

La stratégie des deux fintechs

Cette combinaison de filtrage, de vigilance et d’incitation a permis aux deux fintechs de facturer des primes plus basses, de gagner la faveur des courtiers d’assurance et de s’implanter sur le marché. Le fait que la cybernétique était un nouveau créneau lorsqu’elles sont entrées sur le marché et que les cyberattaques et la demande d’assurance contre celles-ci ont explosé pendant la pandémie a bien sûr joué un rôle. Selon la société d’analyse CyberCube, basée à San Francisco, le montant total des primes d’assurance cybernétique aux États-Unis est passé de moins d’un milliard de dollars (930 millions d’euros) en 2012 à 11 milliards de dollars (10,2 milliards d’euros) en 2023.

Les polices d’assurance couvrent généralement les frais de remédiation, d’enquête, de perte d’activité et les frais juridiques liés aux attaques par ransomware, aux compromissions de courriers électroniques professionnels (dans lesquels les criminels incitent quelqu’un à payer une fausse facture) et aux atteintes à la vie privée.

M. Motta donne un exemple qui fait froid dans le dos : En 2020, grâce à l’identifiant d’un seul employé, un pirate a pu se déplacer latéralement dans les systèmes informatiques d’une distillerie du Kansas et arrêter toute l’opération. « Les joints qui scellaient les différents équipements où le liquide était transporté ont séché et se sont fissurés », explique M. Motta, ce qui a provoqué des dégâts matériels. Coalition et ses réassureurs ont finalement versé environ 2 millions de dollars au titre de la demande d’indemnisation de l’entreprise, dont près d’un million de dollars au titre de la perte de revenus, 600 000 dollars (560 000 euros) de rançon pour le rétablissement de la connexion et les honoraires d’avocats et d’experts en criminalistique numérique. L’entreprise avait souscrit une police avec une limite de 10 millions de dollars et n’avait payé que 21 000 dollars (19 600 euros) de primes par an, avec une franchise de 25 000 dollars (23 300 euros).

 

Coûts et croissance

Aujourd’hui, une telle police Coalition coûterait au moins 120 000 dollars (112 000 euros), et beaucoup plus pour une entreprise dont les contrôles de sécurité sont médiocres. Mais les prix pourraient enfin se stabiliser. Après près de trois ans de fortes hausses, les primes moyennes ont en fait baissé d’environ 20 % en 2023, car davantage d’assureurs sont entrés sur le marché et de nombreux clients ont renforcé leurs défenses. Malgré la baisse des prix, Coalition a souscrit plus de 630 millions de dollars (587 millions d’euros) de primes brutes l’année dernière, soit une hausse de plus de 15 % par rapport à 2022, tandis qu’At-Bay a souscrit 301 millions de dollars (280 millions d’euros), soit une hausse de 20 %. Il s’agit là encore de primes brutes : Coalition ne conserve que 10 % du risque et At-Bay 20 %. Le reste du risque et une grande partie des primes sont transférés à de grands assureurs et réassureurs tels que Swiss Re et Munich Re. L’année dernière, Coalition a réalisé un chiffre d’affaires net de près de 300 millions de dollars (280 millions d’euros) et At-Bay de plus de 110 millions de dollars (102,6 millions d’euros).

Bien qu’aucune des deux entreprises ne soit encore rentable, leur croissance se distingue dans le secteur en difficulté de la fintech, ce qui leur a valu de figurer dans le classement Fintech 50 2024 de Forbes, qui a été publié cette semaine. Les deux entreprises ont encore de l’argent en banque, mais si elles ont besoin de lever des fonds supplémentaires prochainement, elles devront probablement accepter une réduction de leur valorisation compte tenu de l’état du secteur. Coalition a levé des fonds pour la dernière fois en 2022 à une valeur de 5 milliards de dollars (4,6 milliards d’euros), ce qui fait que la participation de plus de 20 % de M. Motta vaut un peu moins d’un milliard de dollars, selon estimations de Forbes.

Ni Coalition ni At-Bay n’ont encore subi de pertes catastrophiques, ce qui constitue toujours un risque imminent. En outre, il existe une autre lame de fond à laquelle se sont heurtés d’autres innovateurs de la fintech, y compris les conseillers financiers robotisés. D’énormes opérateurs historiques peuvent imiter vos idées et peut-être vous battre à votre propre jeu. David Lewison, responsable national de la pratique chez le courtier d’assurance Amwins, qui souscrit 500 millions de dollars (466 millions d’euros) par an de primes d’assurance cybernétique pour les marchés de petite et moyenne taille, note que Chubb et d’autres assureurs établis ont maintenant fait des analyses de réseau une partie standard de leurs évaluations des risques. Mais, d’après son expérience, Coalition, At-Bay et Corvus ont été les premiers et les plus agressifs à rechercher activement les faiblesses et à attirer l’attention de leurs clients sur les problèmes.

Corvus est une autre fintech de cyberassurance fondée en 2017. Travelers l’a acquise au début de 2024 pour 435 millions de dollars (405 millions d’euros), une forte décote par rapport aux 750 millions de dollars (700 millions d’euros) auxquels elle était évaluée lors d’une levée de fonds en 2021, mais deux fois et demie les 170 millions de dollars (158 millions d’euros) que les investisseurs y avaient versés.

Assis à la table de conférence du siège d’At-Bay à San Francisco, M. Iram domine ses employés. En ce matin de janvier, ils l’informent de l’impact de « Citrix Bleed », une vulnérabilité liée à la technologie d’accès à distance de Citrix qui a été révélée et pour laquelle un correctif a été publié le 10 octobre 2023. Après que des chercheurs tiers ont compris comment cette vulnérabilité pouvait être exploitée, les ingénieurs d’At-Bay, tous basés à Tel-Aviv, se sont empressés d’élaborer un code pour déterminer quels clients étaient les plus susceptibles d’être victimes de cette vulnérabilité. Ils ont terminé en deux jours, identifiant 345 clients (sur 35 000) utilisant le produit et ont contacté individuellement les 70 clients les plus à risque, tout en exhortant les 345 clients à appliquer le correctif de Citrix. Six semaines plus tard, 334 l’avaient fait.

Il est essentiel d’appliquer les correctifs en temps voulu ; après que Citrix a signalé la vulnérabilité, des groupes de pirates informatiques portant des noms tels que Lockbit, Medusa et Alphv ont commencé à s’emparer de l’affaire. Jusqu’à présent, Citrix Bleed a été accusé de violations dans des entreprises telles que Boeing, Toyota Financial Services et ICBC, l’énorme banque d’État chinoise. En décembre, le service Internet Xfinity de Comcast a informé 36 millions de clients que leur nom d’utilisateur, leur date de naissance, leurs questions de sécurité et une partie de leur numéro de sécurité sociale avaient pu être exposés. Cependant, seules cinq entreprises ont déposé une demande d’indemnisation pour Citrix Bleed auprès d’At-Bay, qui s’attend à ce que les pertes totales soient inférieures à 2 millions de dollars.

« Tout est mauvais dans notre monde, mais il s’agit d’un risque moyen à faible », conclut M. Iram, « surtout si on le compare à la vulnérabilité des serveurs de messagerie physique de Microsoft, qui a touché 10 % des clients d’At-Bay en 2022 et entraîné des pertes de plus de 10 millions de dollars ».

Depuis l’attaque des terroristes du Hamas contre Israël le 7 octobre et l’invasion de Gaza par Israël qui s’en est suivie, M. Iram a eu beaucoup à mettre en perspective. « Tout a été incroyablement traumatisant pour nous », déclare-t-il. Un cinquième de ses 110 employés israéliens ont été mobilisés pour combattre, ce qui a obligé à mettre en veilleuse certains projets moins prioritaires, les autres employés s’efforçant de prendre le relais.

Le PDG a commencé son propre service militaire obligatoire à 18 ans et a été affecté à l’unité 8200 du service de renseignement israélien, célèbre pour avoir produit des stars de la cybersécurité, notamment les entrepreneurs milliardaires Gil Shwed, PDG et cofondateur de Check Point Software, et Assaf Rappaport, PDG et cofondateur de Wiz, une entreprise de sécurité dans le cloud. M. Iram est resté dans l’unité pendant cinq ans, jusqu’à devenir capitaine, avec 300 personnes sous ses ordres. Il a ensuite poursuivi ses études à l’université hébraïque de Jérusalem, où il a obtenu un diplôme d’ingénieur en informatique, travaillé dans le domaine de l’ingénierie logicielle et comme consultant chez McKinsey, obtenu un MBA à Harvard et dirigé la division cybersécurité de K2 Intelligence (aujourd’hui K2 Integrity), une société new-yorkaise de conseil en gestion des risques à l’échelle mondiale.

En 2016, il a quitté K2 et a commencé à travailler sur sa startup avec trois cofondateurs et un peu de soutien de HSB, une unité de Munich Re axée sur la technologie. At-Bay a été officiellement lancée en 2017 avec un financement de démarrage de Lightspeed Venture Partners, entre autres. Lorsqu’en 2020, une recrudescence des attaques de ransomware a conduit de nombreux assureurs établis à abaisser leurs limites de couverture et à augmenter leurs prix, At-Bay a mis le pied sur l’accélérateur. « Tous les autres se sont enfuis », explique M. Iram. Les primes brutes ont sextuplé, passant de 20 millions de dollars (18,6 millions d’euros) en 2020 à 120 millions de dollars (112 millions d’euros) en 2021. Jusqu’à présent, l’approche technologique d’At-Bay l’a aidée à limiter les pertes ; son taux de sinistres encourus pour 2022 (l’année la plus récente avec des données significatives, étant donné que les réclamations prennent des mois à se concrétiser) était de 29 %, contre une moyenne de 45 % pour les 20 premiers cyber-assureurs domiciliés aux États-Unis.

Aujourd’hui, At-Bay se concentre de plus en plus sur la création de logiciels de sécurité à associer à son assurance. Un outil de surveillance des vulnérabilités est inclus dans ses polices d’assurance. Elle a récemment ajouté un produit de détection et de réponse géré qui commence à environ 5 000 dollars (4 600 euros) par an et qui se connecte aux systèmes internes des clients, surveille leurs ordinateurs physiques et fournit une assistance clientèle dédiée à la détection des menaces.

Bien que désireux d’étendre son offre de logiciels de sécurité, M. Iram a résisté à la tentation d’élargir les produits d’assurance d’At-Bay, tentation à laquelle M. Motta a cédé. Jusqu’à présent, At-Bay a levé 292 millions de dollars (272 millions d’euros) auprès d’investisseurs, obtenant une évaluation de 1,4 milliard de dollars (1,3 milliard d’euros) lors de sa dernière levée de fonds au milieu de l’année 2021. L’entreprise affirme avoir encore près de 200 millions de dollars (186,5 millions d’euros) en banque.

 

Le risque est partout

« Si vous utilisez un ordinateur et une connexion internet, vous avez un risque cybernétique », déclare M. Motta, dont les clients vont des cabinets médicaux aux équipes de la NFL, en passant par les fabricants de sauces piquantes et les startups de crypto-monnaies. Il est assis dans son bureau à domicile dans le quartier chic de Pacific Palisades à Los Angeles, avec vue sur l’océan. Pas moins de six panneaux à l’extérieur de sa clôture annoncent une surveillance et une sécurité 24 heures sur 24 et 7 jours sur 7. « C’est comme Fort Knox », dit-il. L’autoprotection est une nécessité dans ce secteur d’activité.

M. Motta a grandi dans la banlieue de Kansas City et a été initié très tôt à l’internet par deux oncles qui travaillaient dans le domaine des technologies de réseau. À 12 ans, il créait des sites web pour des agents immobiliers locaux. À 15 ans, il a décroché un emploi d’été en programmation à 15 dollars de l’heure chez Microsoft, qui a été impressionné par le logiciel de panier d’achat qu’il avait créé pour DogToys.com et d’autres. Tout en suivant des études internationales à l’université de Chicago, il a décroché un poste d’analyste à temps partiel à la CIA, où il a étudié les campagnes de piratage menées par les adversaires des États-Unis. Après avoir obtenu son diplôme, il s’est essayé à la banque d’investissement chez Goldman Sachs à Londres, a travaillé brièvement dans le secteur du capital-investissement et du capital-risque, puis, en 2011, est devenu le vingtième employé de Cloudflare, une société spécialisée dans la sécurité de l’infrastructure de l’internet.

En 2016, il a cofondé Redacted avec Max Kelly, l’ancien responsable de la sécurité de Facebook, et John Hering, le fondateur de la société de sécurité Lookout. Mais alors que M. Kelly souhaitait développer des technologies de sécurité pour les grandes entreprises, M. Motta se concentrait sur l’assurance. M. Hering et M. Motta ont donc fait de Coalition leur propre entreprise ; des investisseurs tels que Vy Ventures, Ribbit Capital et Valor les ont soutenus en leur apportant un financement de 10 millions de dollars. Coalition a annoncé sa naissance le 5 décembre 2017, trois semaines après le lancement d’At-Bay.

Dès le premier jour, M. Motta a positionné Coalition pour qu’elle se développe plus rapidement qu’At-Bay. Les deux entreprises avaient une excellente technologie, des prix bas et une souscription rapide. M. Motta a ajouté un ingrédient humain essentiel : Il a embauché des vétérans du secteur de l’assurance qui entretenaient des relations avec les courtiers indépendants qui vendent la plupart des assurances pour les entreprises. Cela lui a permis de tirer parti plus rapidement de la hausse de la demande en 2020.

M. Motta a également été plus agressif dans l’exploitation des fonds de capital-risque qui ont inondé la fintech pendant la pandémie – à la mi-2022, Coalition avait levé 770 millions de dollars (718 millions d’euros). Mais cette grosse cagnotte a également permis de commettre une grosse erreur. En 2021, Coalition a déboursé 200 millions de dollars (186,5 millions d’euros) pour acquérir Attune, un assureur basé à New York et une place de marché numérique desservant 15 000 courtiers qui vendent des polices d’assurance de toutes sortes pour les petites entreprises, de la responsabilité civile professionnelle à l’assurance contre les inondations, en passant par l’indemnisation des travailleurs. Le portefeuille d’assurances d’Attune perdait déjà de l’argent et, après le passage de l’ouragan Ian en Floride en septembre 2022, sa situation financière s’est encore aggravée. Au bout de 15 mois seulement, M. Motta a vendu Attune. Coalition ne dira pas à quel prix il l’a vendue, mais selon une source au courant de l’affaire, il s’agissait d’une perte considérable. Pour sa défense, M. Motta souligne que, dans le cadre de la vente, Coalition a obtenu le droit de devenir le vendeur exclusif d’assurances cybernétiques sur la plateforme d’Attune, ce qui, selon lui, était son objectif principal au départ.

 

La viabilité de la cyberassurance

Coalition s’est également développée latéralement sur un autre créneau d’assurance : la couverture de la responsabilité civile des administrateurs et des dirigeants. « L’idée est de devenir le fournisseur d’assurance dominant pour une entreprise numérique », explique M. Motta, qui ajoute que le fait de proposer plusieurs produits rend Coalition plus attrayante pour les courtiers.

Coalition et At-Bay sont confrontées à un défi systémique plus important. Malgré la croissance rapide de la cyberassurance au cours des dernières années, certains initiés du secteur s’interrogent sur sa viabilité. Ils craignent que les schémas de piratage évoluent trop rapidement pour permettre une évaluation fiable des risques et que la plupart des clients ne soient toujours pas préparés, ce qui laisse planer le spectre d’un événement catastrophique causant des dizaines de milliards de dollars de dégâts.

Bien entendu, si les assureurs traditionnels connaissent une année catastrophique dans le domaine de la cybernétique, d’autres secteurs de leur activité pourraient leur servir de coussin de sécurité. Les jeunes entreprises n’ont pas ce luxe. « Il est probable de perdre de l’argent. Et j’admets que je n’en ai pas perdu beaucoup pour le moment », déclare M. Iram.

 


À lire également : Pole Societes : un acteur révolutionnaire dans l’accès aux informations entrepreneuriales

Vous avez aimé cet article ? Likez Forbes sur Facebook

Newsletter quotidienne Forbes

Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.

Abonnez-vous au magazine papier

et découvrez chaque trimestre :

1 an, 4 numéros : 30 € TTC au lieu de 36 € TTC