Assurance : c’est l’heure de parler cybersécurité

Security

Après la propagation de deux vagues de ransomware à travers le monde en 2017, de nombreux dirigeants prennent conscience que les hackers utilisent désormais des outils très sophistiqués et représentent désormais une menace réelle et de plus en plus importante pour leurs entreprises.

Les compagnies d’assurances, qui gèrent les données personnelles de millions d’assurés, ne sont pas à l’abri des cybermenaces.

En 2016, le rapport de l’Association internationale des contrôleurs d’assurance (AICA) mettait déjà en évidence le fait que le nombre de cyberattaques à même de « nuire au bon déroulement de son activité, de compromettre la sécurité de données commerciales et privés et de miner la confiance des clients dans le secteur » était en augmentation. Et cela alors qu’en parallèle, le nombre de consommateur ne faisant pas confiance aux entreprises pour protéger leurs données personnelles n’avait jamais été aussi fort.

Désormais, la sécurité est un sujet clef pour la majorité des conseils d’administration. De nombreux cadres supérieurs n’ont, pour autant, pas les compétences nécessaires pour saisir la pleine mesure de ces menaces de nouvelle génération. Ils sont donc mal préparés pour les détecter et y répondre.

Mais les temps changent : en 2017, le Forum économique mondial a publié un ensemble de recommandations en matière de sécurité et de cyber résilience pour les conseils d’administration. En se posant les questions suivantes, les compagnies d’assurances peuvent dès maintenant prendre des mesures pour gérer les risques qui leur font face.

Comment faire face aux risques commerciaux croissants associés aux incidents de cybersécurité ?

Autrefois, pour se protéger il fallait investir pour créer un périmètre de protection en respectant les normes et en surveillant les infrastructures clés. C’était un modèle dit de type Forteresse. Pourtant, les attaques de ransomwares telles que WannaCry et Petya/ NotPetya, se sont diffusées rapidement à l’intérieur des entreprises, se sont déplacées de pays en pays et ont fini par affecter plus de 400 000 ordinateurs de par le monde. Même les entreprises les plus à jour et protégées de bout en bout en ont été victimes. C’était comme si elles n’avaient pas d’antivirus, pas la moindre protection.

Le meilleur moyen de réagir dont disposent les compagnies d’assurances pour contrer ce genre d’attaque, c’est d’être déjà préparé. L’élément clé de ce genre de programme : la mise en place de contrôles de sécurités réguliers. Par exemple, la mise en place de tests de pénétration sur les points d’accès internet aurait pu permettre d’améliorer la défense des systèmes contre les récentes attaques de ransomwares. De même une meilleure prise en compte des menaces d’ingénierie sociale auraient permis d’augmenter la vigilance des employés contre les attaques par hameçonnage (phishing).

Il est également nécessaire d’évaluer votre capacité à détecter et réagir en cas d’attaque. Comme les virus se diffusent rapidement, vous ne pouvez pas juste ne rien faire et ensuite planifier votre réaction lorsque vous aurez repéré les premiers signes d’une attaque. Vous devez être certain que votre plan d’action est prêt et parfaitement rodé pour limiter le risque. Lorsqu’un incident a lieu, toutes les parties prenantes, employés et partenaires de l’entreprise, doivent savoir exactement ce qu’ils vont devoir faire.

Le fait de simuler des attaques vous aidera à être mieux préparé, de même que le fait de tester vos plans de continuité d’activité renforceront votre résilience. Les assureurs sont des experts du risque, mais leurs plans de gestion du risque devraient également inclure l’impact potentiel d’un virus et les attaques de ransomwares. De même que la perte de données sensibles d’un client d’une manière générale. Les hackers sont célèbres pour demander des rançons à la suite de vols de données. Il est donc vital que toutes les entreprises disposent d’une stratégie bien établie capable de s’adapter à toutes les situations.

Comment faire travailler sécurité et conformité plus étroitement ensemble ?

Sécurité et conformité servent un même but : protéger l’entreprise. Leur différence tient à la question du « pourquoi » (« pourquoi les assureurs ont-ils besoin de ces fonctions ?»).

Se mettre en conformité est une chose que vous êtes tenu de faire. Sécuriser votre système est une chose que vous devez faire. Cependant, en ce qui concerne les préoccupations relatives la vie privée des clients, il est nécessaire de faire les deux.

En termes de droit privé, de nombreux pays en Asie sont historiquement à la traine derrière l’Europe. En mai 2017, une nouvelle réglementation mise en place par l’Union européenne entrera en action et devrait avoir des conséquences importantes sur le monde entier. Le Règlement européen sur la protection des données (RGPD) permet à l’utilisateur de décider quelles sont les entités autorisées à accéder à leurs données et leur profil client, mais aussi combien de temps ces données peuvent être conservées, quand les effacer et qui est la personne à contacter en cas de problèmes.

La RGPD est similaire à la loi japonaise sur la protection des renseignements personnels, entrée en vigueur en 2017. Cependant, les consommateurs japonais sont encore dubitatifs au sujet de leur intimité. En 2017, un sondage en ligne mené par Rakuten AIP montre que moins d’un cinquième des consommateurs (18%) pensent que leurs informations détenues par des entreprises ne risquent pas d’être volées.

L’aspect positif du RGPD, c’est que regagner la confiance des utilisateurs pourrait permettre aux entreprises d’acquérir une certaine légitimité sur le sujet et permettrait de créer une demande concernant des cyber-assurances.

Même sans tenir compte des nouvelles régulations, la confidentialité des données clients devrait être un sujet de conversation au niveau du conseil d’administration. Au lieu de voir cette nouvelle loi sous l’angle unique de la contrainte, les assureurs devraient la considérer comme le moyen d’obtenir la confiance des assurés, et en profiter pour améliorer la gestion globale des données.

Des études récentes menées par DXC Technology ont mis en évidence que jusqu’à 40% des données d’une entreprise peuvent être des données dupliquées, ou sont tout simplement inutiles. Une approche globale et standardisée des données et de la sécurité permettrait de contribuer à l’élimination des silos de données de l’entreprise et de générer de meilleurs résultats grâce à des analyses précises.

Comment gérer les risques associés aux modèles écosystèmes tirés par le digital (cloud, Internet des objets, et analytique, …) ?

De nombreuses compagnies d’assurances estiment que leur niveau de complexité ainsi que leur taille augmente, et cela alors qu’il est de plus en plus nécessaire de mener leur transformation digitale. Pourtant leur organisation en matière de sécurité reste figée au temps du vieux modèle de prévention essentiellement périmétrique.

Désormais, les sociétés utilisent l’environnement cloud pour de nombreuses tâches, allant du stockage à des outils logiciels spécialisés tel que des services pour l’analyse, en passant par la RH et la comptabilité.

Ce type d’environnement demande davantage de management système et de surveillance afin de prévenir la fuite d’informations clés. Il existe plusieurs solutions en matière d’identification, de prévention contre la perte de données, et de rapport de conformité. Malheureusement, beaucoup d’entreprises manquent d’expérience interne pour faire face à ces défis.

Lorsqu’une organisation se développe au-delà de ses capacités propres, former un partenariat avec des experts externes est une réponse logique au problème. Cela permet de bénéficier d’informations sur les menaces mondiales et de disposer d’une surveillance permanente de ses systèmes, tout en s’assurant d’avoir es capacités de réponses nécessaires en cas d’accidents.

En s’associant avec une équipe prévue pour agir rapidement, votre entreprise sera en mesure de surmonter les problèmes communs associés à un incident de cybersécurité. Comme par exemple à l’urgence de contenir un virus, pour ensuite remédier au problème et/ou effectuer une analyse forensique pour déterminer le vecteur d’entrée du virus. C’est également l’occasion de changer votre modèle de coûts liés à la sécurité pour passer à un modèle « as a service » (à la demande).

Comment l’équipe dédiée aux cyber-risques doit collaborer avec le département Gestion des risques de l’entreprise ?

De nombreux groupes d’assurances n’ont pas encore franchi le pas en décidant d’améliorer leur sécurité à un niveau exécutif. Pourtant, en mars 2017, le régulateur en Inde a exigé que tous les assureurs (à l’exception des compagnies ayant moins de trois ans) de désigner un responsable de la sécurité des systèmes d’information (RSSI). L’objectif était de le mettre en charge de l’adoption et de l’intégration des politiques de sécurité afin de protéger les actifs informationnels. Sa responsabilité s’étend des données elles-mêmes, aux applications, en passant par les OS, les différents réseaux ainsi que les audits de sécurité et tout l’arsenal juridique en matière de cybersécurité.

L’une des nouvelles responsabilités du RSSI est de communiquer avec l’entreprise, mais aussi avec les partenaires et les fournisseurs ainsi qu’avec les groupes de l’industrie. Et c’est d’autant plus important que les cyber-criminels continuent de développer leurs compétences et d’accroître leurs zones d’influence.

Il est important qu’au sein de votre entreprise, les équipes Gestion des risques, Cybersécurité et Conformité s’expriment dans une même langue. Cela permet de tisser des liens, de saisir plus facilement quel est le contexte et de montrer de quelles façons les risques de cyber sécurité peuvent affecter l’activité. Plus important encore, cela contribue à assurer le fait que ces fonctions ne soient pas en concurrence avec pour objectif la concentration de la reconnaissance et des crédits dans un seul service.

Aller plus loin

En se posant ces questions, et en y apportant des réponses, une compagnie d’assurance sera en mesure d’ouvrir le dialogue sur la cybersécurité pour ensuite pouvoir lancer des mesures d’amélioration de la sécurité. L’objectif étant de mettre l’accent sur la gestion disciplinée des risques. Cependant si les assureurs veulent intégrer des pratiques de cybersécurité plus strictes au sein de la culture d’entreprise, ils doivent faire en sorte que les services de sécurité informatique s’expriment dans un langage simple et compréhensible par tous. Et donc éviter à tout prix le jargon technique qui risque de perdre les profanes.

Les rapports d’étapes doivent être clairs, approuvés par toutes les parties prenantes et communiqués dans l’ensemble de l’organisation. Pour rappel, les employés et les mises en application représentent toujours la première faille de cybersécurité et le principal point d’entrée des virus. Le meilleur moyen de pallier à ce problème est d’en être conscient, et de faire en sorte que tout le monde comprenne clairement ce qu’il doit faire, et puisse en discuter dans le cadre de leurs tâches.

 

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: