(Interview) Stoïk : la start-up qui transforme la cyber-assurance en rempart contre les menaces

Partager
(Interview) Stoïk : la start-up qui transforme la cyber-assurance en rempart contre les menaces
Stef Vermeulen, Country Manager Stoïk. "Construire la résilience cyber en tant que CISO de l'Europe".

Le marché de la cybersécurité évolue, et avec lui, les modèles de protection. La start-up Stoïk bouscule les codes de l'assurance traditionnelle. Loin de se limiter à un simple service d’indemnisation financière, l'entreprise propose une approche holistique mêlant prévention, détection et réponse aux incidents.  Entretien avec Stef Vermeulen, expert en cyber-assurance et Country Manager chez Stoïk, sur les réalités des cyber-menaces en Belgique, les demandes de rançon et l'avenir de la cyber-résilience.

 

-Cyber Security News : Vous travaillez au cœur de l'écosystème cyber en Belgique. Quel est votre constat sur l'état actuel du marché en termes de menaces ?

 Stef Vermeulen, Country Manager Stoïk Belgique : Nous observons ces derniers temps une augmentation massive des incidents liés aux e-mails. Ils représentent aujourd'hui 60 % de tous les incidents que nous traitons, dont 93 % sont de la fraude pure (falsification de factures, détournement de comptes bancaires, etc). Parallèlement, si la fréquence des ransomwares ne grimpe pas nécessairement, leur impact, lui, explose. Les attaquants sont plus intelligents, leurs techniques s'affinent, notamment grâce à l'IA. Là où il fallait, il y a peu, quelques jours pour se remettre d'une attaque, la complexité actuelle exige une réactivité bien plus grande.

-CSN : Les entreprises cèdent de plus en plus souvent au paiement des rançons exigées par les cybercriminels. Est-ce une réalité que vous observez ?

 Stef Vermeulen : Nous faisons tout pour éviter cela. Notre approche diffère des assureurs classiques : nous ne nous contentons pas de poser des questions statiques lors de la souscription. Nous évaluons dynamiquement la posture de sécurité de nos clients. Nous lançons des scans externes en continu pour identifier les vulnérabilités, les portes d'entrée numériques ouvertes ou les compromissions d'e-mails. En combinant cette prévention avec une défense gérée (MDR, des outils de protection type CrowdStrike ou Microsoft Defender), nous parvenons à stopper les intrusions avant qu'elles ne deviennent des crises majeures. Cela nous permet d'afficher un taux de paiement de rançons nettement inférieur à la moyenne du marché.

 -CSN : En termes de maturité cybersécurité, observez-vous des disparités importantes entre les secteurs d’activité des organisations en Belgique ?

Stef Vermeulen : Absolument. Les secteurs soumis à la réglementation NIS 2, comme le transport ou l'agroalimentaire, sont davantage mieux préparés, car ils y sont contraints. À l'inverse, les « mauvais élèves » se trouvent souvent dans les secteurs de l'hôtellerie et la restauration. Ils subissent actuellement une vague massive de "fraudes à la réservation" qui exploitent des fuites de données provenant de plateformes tierces comme par exemple Booking.com. C'est un rappel brutal que la sécurité doit faire partie intégrante de la gestion opérationnelle quotidienne, quelle que soit la taille de l'entreprise.

 -CSN : Vous avez identifié l'e-mail comme le vecteur d'attaque principal. Existe-t-il des canaux plus sécurisés, ou au contraire, de nouvelles zones de vulnérabilité qui émergent ?

 -Stef Vermeulen : L'e-mail reste effectivement le vecteur numéro un, mais nous observons des nuances. Typiquement, un smartphone est un environnement un peu plus sécurisé qu'un poste de travail classique. Cependant, les attaquants s'adaptent : le « voice mimicking » (usurpation vocale par IA) via téléphone explose, et nous développons déjà des solutions pour contrer cela. Par ailleurs, nous constatons une baisse des vulnérabilités techniques pures -grâce à de meilleures pratiques de développement, comme l'usage de CodeQL dans les navigateurs- au profit d'une augmentation du risque humain. C'est là que se situe le véritable défi : la technologie devient plus robuste, mais l'humain reste la porte d'entrée privilégiée.

 -CSN : Stoïk propose un modèle économique hybride, à la croisée de l'assurance et de la cybersécurité opérationnelle. Expliquez-nous cette stratégie disruptive …

 Stef Vermeulen : Le modèle classique de l'assurance ("j'ai un dommage, je vous rembourse") ne fonctionne plus dans l’environnement cyber. Pour être durable et réellement utile, il faut intégrer la réponse à la nouvelle réalité des incidents en interne. Les données que nous récoltons lors de ces interventions nourrissent directement nos outils de prévention et de détection, les rendant plus intelligents. Nous incitons nos clients à adopter les bonnes pratiques : s'ils activent nos outils de prévention (scans, formation au phishing, etc.), nous réduisons leur franchise. Et s'ils adoptent nos modules de défense gérée, nous appliquons une réduction sur la prime. C'est un cercle vertueux : plus le client est protégé, moins le risque est élevé, et plus nous pouvons couvrir des périmètres complexes, comme la fraude, avec des conditions avantageuses.

Le modèle classique de l'assurance ("j'ai un dommage, je vous rembourse") ne fonctionne plus dans l’environnement cyber. "

 -CSN : Votre modèle économique semble vouloir tout centraliser. Peut-on qualifier Stoïk de « one-stop shop » de la cyber-résilience ?

 Stef Vermeulen : C'est une définition qui nous correspond parfaitement. Contrairement aux assureurs traditionnels qui se limitent souvent à la couverture financière après sinistre, nous avons bâti un écosystème complet. En tant que « one-stop shop », nous couvrons tout le cycle de vie de la sécurité : de la prévention (scans, formation) à la défense gérée (MDR), en passant par l'assurance et la réponse aux incidents en interne. Cette intégration verticale est notre force : elle nous permet d'être beaucoup plus réactifs et pertinents, car chaque incident traité nous aide à améliorer nos outils de prévention pour l'ensemble de nos clients.

-CSN : La souveraineté numérique est un enjeu majeur pour les entreprises européennes. Quelle est votre approche chez Stoïk concernant les outils que vous utilisez ?

 Stef Vermeulen : Nous essayons d'être aussi « souverains » que possible. C'est une exigence que nous intégrons dans nos choix technologiques. Notre solution de sécurité e-mail, par exemple, est développée en interne et s'appuie sur Mistral AI pour la détection des menaces. Pour le reste de notre stack, nous évaluons chaque partenariat avec cette même volonté de souveraineté. Nous sommes conscients que ce n'est pas toujours possible à 100 % dans l'écosystème actuel, mais c'est une direction que nous suivons absolument dès que l'opportunité se présente.

 -CSN : Stoïk est une entreprise d'origine française, mais vous êtes très actif en Belgique. Pouvez-vous nous en dire plus sur votre ancrage local et votre stratégie de développement ?

 Stef Vermeulen : Stoïk est une entreprise française fondée en 2021, mais nous avons une ambition européenne forte. Nous sommes déjà présents dans sept pays, dont la Belgique, l'Allemagne, l'Espagne ou encore le Luxembourg, avec plus de 13.000 clients. Pour ma part, je viens du monde de l'assurance cyber belge ; j'ai travaillé chez CyberContrat, une structure qui a été rachetée en 2025 par le groupe Stoïk. Cette double culture nous permet de conserver une agilité de startup tout en ayant une assise solide pour accompagner nos clients sur le long terme, quel que soit leur marché local.

 -CSN : Pour conclure, quel est votre regard sur l'avenir proche de la cybersécurité pour les organisations en Belgique ?

 Stef Vermeulen : La menace va continuer de croître, portée par des outils d'IA de plus en plus sophistiqués. Que vous soyez une boulangerie locale ou une grande entreprise de transport, la cybersécurité n'est plus une option, c'est une composante de votre gestion quotidienne. Il faut contrer ces nouvelles techniques par des solutions tout aussi agiles. Nous sommes convaincus que l'avenir appartient aux acteurs qui ne se contentent pas d'assurer un risque, mais qui accompagnent activement leurs clients dans leur montée en compétence technique et humaine.

Plus d'infos sur les solutions proposées par Stoïk : www.stoik.com

Lire la suite