Dattak vient d’annoncer son rapprochement avec Lalux, premier assureur luxembourgeois, pour porter son offre cyber. Sa présidente, Charlotte Couallier, revient sur ce partenariat, le positionnement de MGA et les perspectives 2030 de la société.
Dattak revendique un positionnement de MGA et non de courtier grossiste. Qu’est-ce que cela change concrètement pour les courtiers et leurs clients ?
Pour moi, c’est vraiment très différent. Un courtier grossiste a plusieurs offres par produit, met en concurrence plusieurs assureurs et fait la comparaison pour les courtiers. Nous, nous n’avons qu’une seule offre, celle de Dattak. Nous avons créé notre propre contrat et notre modèle de tarification. Ce sont nos souscripteurs et nos ingénieurs cybersécurité qui répondent en cas de cyberincident, et nous assurons aussi la gestion des sinistres. Les courtiers ne nous voient pas comme un grossiste, mais comme un assureur en cybersécurité.
Je nous vois d’ailleurs plus comme un assureur qui se fait réassurer. Nous avons une dizaine de porteurs de risques derrière nous, dont Scor et Sompo parmi les principaux, mais c’est transparent pour le client. Nous ne proposons pas d’offres en concurrence à nos distributeurs : selon l’appétit des porteurs, le besoin du client et l’exposition sectorielle déjà constituée, nous orientons vers l’un ou l’autre. La répartition se fait naturellement, toujours dans l’intérêt de l’assuré.
Où en êtes-vous de votre développement et sur quels segments êtes-vous le plus attendus par les courtiers ?
Dattak couvre aujourd’hui près de 3 500 entreprises et nous approchons des 20 M€ de primes émises. Nous sommes quarante collaborateurs, présents en France, en Belgique et au Luxembourg. Nous avons atteint nos objectifs et nous sommes rentables en France. Pas encore au niveau du groupe, parce que nous avons créé une filiale, Dattak Technology, qui porte toute la réponse à incident et les outils de cybersécurité, et qui est encore jeune. Nous visons la rentabilité du groupe dès 2027, 2028 au plus tard. Nous recrutons toujours activement, avec une dizaine de postes ouverts sur toutes les équipes : marketing, souscription, claims, sales, développeurs, ingénieurs cybersécurité.
Côté délégation, nous pouvons aujourd’hui souscrire pour des entreprises jusqu’à 2 Md€ de chiffre d’affaires cumulé, et nous devrions bientôt ne plus avoir de limite.
Là où nous sommes les plus attendus, c’est sur le segment ETI, entre 20 M€ et 1 Md€ de chiffre d’affaires : un segment où l’offre est rare. C’est aussi là que Dattak fait vraiment la différence avec sa solution combinée d’assurance cyber et de cybersécurité. Je viens d’Axa, où j’étais directrice commerciale et innovation : par rapport aux acteurs traditionnels qui se positionnent uniquement sur l’indemnisation du risque, Dattak intervient en amont, avec un audit automatisé, une plate-forme, Dattak Defense, qui réduit le risque de cyberattaque par sept selon nos mesures, un MDR et une réponse à incident internalisée. Nous couvrons aussi la panne informatique, la fraude et la responsabilité professionnelle, y compris responsabilité IA. Quand CrowdStrike est tombé, plusieurs cyberassureurs ont refusé d’indemniser au motif qu’il ne s’agissait pas d’une cyberattaque. Dattak a payé.
Comment voyez-vous évoluer la sinistralité cyber, et quel impact attendez-vous de l’outil Mythos annoncé par Anthropic ?
Nous avons constaté une augmentation des cyberattaques cette année, en fréquence mais pas en intensité : nous avons toujours réussi à restaurer les systèmes d’information de nos assurés. Concernant Mythos, Anthropic a fait une annonce importante le 7 avril : un outil qu’ils n’ont pas mis sur le marché parce qu’ils l’estiment trop dangereux. C’est une IA capable d’accélérer considérablement la phase de préparation d’une cyberattaque : on passe, selon notre analyse, de quelques jours à quelques heures. La vraie question, c’est de savoir si cela va démultiplier les cyberattaques.
Notre lecture est nuancée. Mythos identifie des vulnérabilités sur les OS, les navigateurs et les logiciels, mais Anthropic lui a donné accès au code source, comme s’il était à l’intérieur de l’entreprise. Or un hacker est rarement dans cette situation : il opère depuis l’extérieur. Mythos ressemble donc plutôt à un outil d’audit interne. Chez Dattak, nous faisons les deux : un audit externe, où l’on se met dans la peau d’un hacker pour essayer de pénétrer l’entreprise, et, sur certains secteurs et grosses structures, des audits internes avec l’autorisation du client. L’audit externe permet de repérer les portes et fenêtres ouvertes ; l’audit interne, lui, va jusqu’au coffre-fort. Mythos sera plutôt un outil pour augmenter nos audits internes. Cela étant, il y aura sans doute encore plus de cyberattaques.
Le prix est souvent présenté comme un frein pour les PME. Est-ce un vrai sujet, et que faut-il pour rendre le risque cyber plus assurable ?
Le prix n’est pas un sujet, c’est une question de priorités. Pour une entreprise de moins de 50 M€ de chiffre d’affaires, donc déjà une belle PME, l’assurance Dattak démarre sous les 4 000 € par an, et inclut Dattak Defense, des campagnes de phishing pour former les salariés, le scan de cybersécurité et les audits. Le problème, c’est que le sujet fait peur et qu’il n’est pas sexy. Les directions parlent davantage d’activer le business ou de réduire les coûts que de se protéger d’une cyberattaque.
Pour que l’assurance fonctionne, il faut un premier rempart de cybersécurité. Si la probabilité de cyberattaque est de 100 %, le modèle ne tient pas. C’est pour cela que nous avons créé Dattak Defense, que nous installons par défaut chez tous nos souscripteurs. C’est comme le risque incendie : les assureurs ont obtenu que toutes les entreprises soient équipées d’extincteurs et de systèmes de détection certifiés régulièrement. Ce sera pareil en cybersécurité. Nous demandons par exemple des sauvegardes de données et la vérification systématique des changements de Rib. Nous avons eu un sinistre il y a quinze jours : une entreprise a payé deux mois de loyer, 100 000 €, sur un faux Rib envoyé à la suite d’une compromission d’e-mail de son espace de coworking. Ce sont des réflexes que toutes les entreprises n’ont pas encore, et que les assureurs vont les amener à prendre.
Quel est votre plan de développement à l’horizon 2030, et que pouvez-vous nous dire du partenariat avec Lalux ?
Nous avons trois axes : l’international, les outils de cybersécurité ajoutés à notre offre, et l’élargissement des risques couverts. Côté risques, nous avons déjà ajouté la fraude, la panne informatique et la responsabilité professionnelle, y compris responsabilité IA, et nous continuerons. Côté cybersécurité, nous avons lancé récemment notre propre solution de MDR, et d’autres outils suivront d’ici la fin de l’année. À l’international, nous visons un doublement annuel du chiffre d'affaires et l’ouverture d’un nouveau pays par an.
Nous venons d’ailleurs d’annoncer notre rapprochement avec Lalux, premier assureur luxembourgeois, qui a choisi Dattak à l’issue d’un appel d’offres pour porter son offre d’assurance cyber. Lalux souhaitait proposer une offre cyber complète à ses clients et nous a choisis pour porter toute la chaîne : souscription, tarification, prévention et réponse à incident. Pour Dattak, c’est une très belle opportunité : nous opérons en co-branding et avons formé leurs 700 agents généraux à distribuer Dattak. Cela nous permet de couvrir le marché luxembourgeois à grande échelle sans avoir d’équipe sur place. C’est un modèle que nous voulons répliquer à l’international.
Dattak est un acteur 100 % intermédié : nous ne vendons pas en direct aux entreprises, c’est un choix depuis le début. Notre premier réseau de distribution, ce sont les courtiers, puis les agents généraux et des partenariats sous marque blanche avec des assureurs en France.
La cybersécurité est un secteur très masculin. Comment cela se traduit-il chez Dattak et qu’est-ce qui peut faire bouger les choses ?
Au Codir, nous avons la parité : ma directrice commerciale et ma directrice d’assurance sont toutes deux des femmes. Dans toute l’entreprise, c’est plus difficile. Nous aimerions recruter plus de femmes, mais c’est compliqué : en cybersécurité, moins de 8 % des métiers sont occupés par des femmes.
Je contribue à mon échelle via l’association L’Impact, cofondée et présidée par Sandrine Yana, par ailleurs cofondatrice et présidente de Galiléo Courtage. L’Impact favorise les femmes dans les filières technologiques et les aide à lever des fonds. Les femmes ont beaucoup de qualités pour entreprendre : elles sont généralement plus rigoureuses, plus précautionneuses sur leur business plan, là où un homme va plus volontiers annoncer des chiffres ambitieux avec davantage de certitude. Neuflize nous a expliqué que, lorsqu’ils proposent un emprunt entre 1 M€ et 1,5 M€, 60 % des femmes prennent 1 M€ quand 100 % des hommes prennent 1,5 M€. Et aujourd’hui, moins de 8 % des fonds levés vont à des équipes féminines ou même mixtes.
L’Impact aide ces femmes à prendre de l’assurance, à sortir des schémas classiques et à demander plus : à pitcher devant des hommes, à répondre aux questions de type maternité. Chez Dattak, notre directrice commerciale a pris un congé maternité l’an dernier, notre directrice d’assurance en prendra un cette année. Ce sont des congés qu’il faut anticiper, et que les femmes elles-mêmes s’empêchent parfois de prendre, par crainte de ne pas pouvoir tenir un poste à responsabilités.
