Benoit Beaulieu est le Directeur Cybersécurité du spécialiste de l’assurance cyber. Il passe au crible les différentes menaces dont celles liées à l’intelligence artificielle, et comment Dattak propose d’y répondre.
INNOVATION ASSURANCE : Quels sont les quelques éléments-clés à connaître sur Dattak ?
Benoit Beaulieu : Dattak est l’assurance proactive contre les cyberattaques combinant des services de cybersécurité afin de réduire le risque, à l’assurance la plus complète du marché pour indemniser en cas d’attaque. L’entreprise a été fondée en 2021 par Charlotte Couallier, ex-directrice commerciale et innovation chez AXA et Damien Damamme, ex-responsable du lab de distribution chez Allianz.
Nous recensons une quarantaine de collaborateurs experts cyber et assurance, plus de 2 000 clients et sept réassureurs de niveau mondial.
Comment mesurez-vous le risque chez un client assuré ?
Il y a plusieurs méthodes en fonction du secteur d’activité et de la taille de l’entreprise. La première, utilisée pour tous nos assurés, concerne le système d’information. Nous avons développé des outils, notamment un scan, qui analyse toute la surface externe du système d’information et détecte les vulnérabilités potentielles. On peut comparer cela à un cambrioleur qui veut s’en prendre à une maison : il étudie toute la surface externe du bâtiment, les points d’entrée (porte, baie vitrée…) et leurs configurations (volets, barreaux…). Nous faisons exactement la même chose sur la surface exposée du système d’information en analysant les différents points d’entrée possibles. Nous examinons aussi les fuites de données publiques ou sur le dark web, nous cherchons des identifiants qui traînent et pourraient potentiellement compromettre le système d’information de l’assuré.
Ensuite, nous complétons la démarche avec une évaluation sous forme d’auto-diagnostic du système d’information, basé sur le framework NIST. Cela nous permet d’avoir une cartographie des risques sur la partie interne. Couplée avec l’analyse externe, cela donne une cartographie globale et une analyse de risque plus granulaire pour pouvoir répondre au mieux aux demandes des assurés, et les assurer de la meilleure façon possible.
Nous récompensons par ailleurs la bonne maturité cyber. C’est-à-dire que plus votre score de maturité cyber est élevé, moins votre tarif l’est. Nous évaluons également le risque humain via de la sensibilisation et des campagnes de phishing gratuites. Nous proposons enfin un accompagnement expert cyber tout au long du contrat pour continuer à analyser le risque et faire des recommandations pertinentes.
Quelles sont les principales cyber-menaces liées à la data et l’IA ?
Tout le monde sait que la data est le trésor de toute entreprise. L’intelligence artificielle permet justement de faciliter son analyse.
Parmi les risques identifiés : de nombreuses personnes utilisent l’IA en la nourrissant avec des données. Il y a donc la possibilité, par la suite, de se faire voler et/ou exploiter des données sensibles. Un autre risque concerne les modèles d’IA : c’est-à-dire qu’il est possible de les manipuler, de leur faire croire des choses pour par exemple changer le cours d’une action – cela permet d’enrichir le modèle d’IA avec de fausses informations pour parasiter sa réponse et manipuler en conséquence les informations récupérées.
Il y a également la génération de contenu malveillant, comme reproduire des vidéos avec le visage et la voix de certains individus. On a vu un cas à Hong Kong récemment, avec un salarié pensant se connecter sur Teams avec trois personnes de la direction de son entreprise, et qui a fait un versement de 25 millions d’euros alors qu’il était face à des images générées par de l’IA. Avec les fake news, tout cela va contribuer à augmenter le risque sur les différentes cybermenaces.
Certaines attaques vont aussi pouvoir être automatisées via l’IA. A force d’entraîner les modèles, ils vont pouvoir analyser et comprendre d’eux-mêmes la typologie de structure, les secteurs d’activité et préparer les attaques beaucoup plus facilement que le ferait n’importe quel outil informatique. En testant des combinaisons très rapidement, les attaques vont s’accélérer – d’autant plus que les pirates vont pouvoir s’adapter aux réponses des systèmes d’information.
Le développement de l’IA va très vite, il faut continuer à surveiller et éduquer nos assurés sans relâche.
Quelles réponses apportez-vous à ces menaces ?
La première solution, que nous utilisons pour tout type de menace, est la sensibilisation de tous nos assurés. Nous faisons donc des campagnes de phishing, mais aussi des contenus spécifiques relatifs à l’IA en fonction des secteurs d’activité. Nous construisons également des formations sur-mesure avec nos assurés sur ces sujets. Bien sûr, nous les accompagnons tout au long de leur contrat, pour répondre à leurs questions s’ils en ont besoin. Nos experts sont certifiés pour pouvoir intervenir dans n’importe quel secteur d’activité ou sur n’importe quelle mission.
Nous ne jouons pas un rôle d’intégrateur mais nous recommandons des partenaires ou des solutions idoines à l’entreprise. Nous allons enfin proposer la responsabilité civile professionnelle début 2025 pour élargir notre gamme et permettre de prendre une assurance qui correspond, pour certaines entreprises, à une activité bien précise.
Benoit Beaulieu interviendra sur le sujet « Nouveaux risques, nouveaux services : focus sur les cyber risques » dans le cadre de la conférence Innovation Assurance 2025 le 30 janvier 2025.