À un moment où le risque cybernétique est devenu l'une des plus grandes menaces pour les organisations, E-Comply — joint venture formée par l'ESCS et Comply Solution — présente au marché brésilien une solution qui promet de transformer la manière dont les assurances cybernétiques sont évaluées et tarifées.
Le nouveau système développé par l'entreprise utilise l'intelligence artificielle, des algorithmes d'apprentissage automatique et une méthodologie d'évaluation continue et automatisée, alignée sur les principaux cadres internationaux de sécurité. Le résultat est un calcul de prime plus juste, technique et basé sur des preuves actualisées — une avancée importante dans un secteur où la subjectivité reste courante dans l'analyse des risques.
Selon Allan Kovalscki, PDG d'E-Comply, le grand atout de la solution réside dans la simplicité du processus.Notre système évalue en permanence le niveau de maturité en cybersécurité de l'organisation assurée, en se basant sur les domaines de risque définis par l'assureur. Cela réduit le risque de sinistres, améliore la réponse technique et augmente la précision dans la définition de la prime..”
Grâce à des algorithmes basés sur l'apprentissage automatique, ils interprètent des données collectées sur les politiques, les technologies, les vulnérabilités et les processus, puisque l'IA peut analyser une grande variété de données, aidant au calcul dynamique de la prime d'assurance.
“Le système croise des données techniques avec des références de marché, des comportements historiques similaires et applique des modèles statistiques tels que des arbres de décision, des régressions logistiques et des réseaux neuronaux. Tout cela pour générer des scores de risque actualisés et fiables.”
Conçue sur la base des modèles de sécurité de l'information, tels que le NIST CSF v2 (2024), CIS Controls, ISO/IEC 27001/27002, ISO 27701 et les exigences du LGPD/GDPR.Chaque domaine que nous évaluons est directement lié à ces normes, ce qui garantit non seulement l'excellence technique, mais aussi la conformité réglementaire pour l'assuré et la compagnie d'assurance.», souligne Kovalski.
De plus, l'outil classe la maturité en niveaux, conformément à la structure du CMMI, qui est un modèle pour mesurer et améliorer la maturité des processus d'une organisation, en se concentrant sur la livraison de produits et services de manière prévisible, efficace et avec une qualité contrôlée, offrant une vision claire de l'évolution du client au fil du temps.
Avec une architecture modulaire et une API ouverte, le système peut être facilement intégré aux plateformes des assureurs, aux systèmes de gestion des risques (GRC), ITSM et aux référentiels de politiques. Cela fait de l'outil un composant stratégique non seulement dans la souscription, mais aussi dans la surveillance de la posture de sécurité pendant la durée du contrat.En supervisant la maintenance des contrôles, nous livrons un instrument de gouvernance continue, ayant un impact direct sur la réduction des risques et des coûts pour le marché de l'assurance..”
Un autre point souligné par l'exécutif est le potentiel de l'outil en ce qui concerne l'expansion du marché national des assurances cybernétiques, encore peu exploité. La solution d'E-Comply élimine les barrières techniques pour les assureurs et permet la création de produits personnalisés par secteur, niveau de maturité ou taille de l'entreprise — y compris les petites et moyennes.
“Cela ouvre la voie au développement de produits innovants, tels que des polices modulaires, spécifiques par secteur ou par niveau de maturité, ainsi qu'à une meilleure adaptation aux exigences réglementaires minimales (comme celles exigées par l'ANS, la Susep et la Bacen) et aux futures normes techniques sur les assurances cybernétiques.», dit-il.
La plateforme se met également à jour de manière constante, en intégrant des bases telles que CVE/CVSS et des sources de Cyber Threat Intelligence (CTI). Ainsi, le score de menace et les rapports générés reflètent le contexte de l'environnement numérique, ce qui augmente la fiabilité des données utilisées pour la souscription et la tarification.
