Insurance Blog | Accenture

Cyberattaques : opportunités ou menaces pour le secteur des assurances ?

Nouvel eldorado de notre monde d’aujourd’hui, toute source de données devient une cible potentielle. Avec un métier basé principalement sur une capacité d’analyse et d’exploitation de la donnée, les assureurs sont naturellement pris pour cible. En effet, entre 2018 et 2020, les cyberattaques contre les assureurs ont plus que doublé, renforcées aussi par la mise en place en urgence de nouveaux modes de travail, dans la période de crise sanitaire.

Le nombre de cyberattaques contre les assureurs a plus que doublé depuis notre dernière enquête1 : de 240 à 519 attaques, en moyenne.

 44 % des assureurs ont exposé plus de 500 000 dossiers au cours de la dernière année, comparativement à seulement 15 % des leaders intersectoriels1.

87% des consommateurs ne contractualiseront pas avec une entreprise s’ils ont des doutes sur leurs  pratiques en matière de sécurité1.

Travail à distance, pratiques de type BYOD (« bring your own device ») ou encore ouverture graduelle de l’écosystème des assureursavec intégration de nombreux partenaires (plateformes, API, agences de voyage, etc.) – mettent en exergue la fragilité potentielle des compagnies, composées de collaborateurs non encore avertis aux risques de cyber-sécurité dans leur quotidien professionnel.

6 000 milliards de dollars, c’est le coût annuel mondial de la cybercriminalité en 20212

Les équipes IT n’ont d’autre choix que de se doter de compétences et d’expertise en matière de cybersécurité et de se former en permanence contre les nouveaux risques. En effet, les techniques des cyberattaquants ne cessant d’évoluer, les entreprises se doivent d’ajuster régulièrement les parcours de montée en compétences de leurs experts en sécurité. L’enjeu : pouvoir s’appuyer sur des capacités internes robustes, capables de gérer les transformations liées aux technologies que sont la Data, l’IA, ou le Cloud, et qui impactent en profondeur les approches de cybersécurité.

C’est donc sans surprise que la cybersécurité a été évaluée le risque le plus important en 2021 en France (par une étude Allianz) et dans le top 10 mondial (World Economic Forum). L’essor du marché du Cyber rating3 est un exemple de cette nouvelle tendance.
Si le Cyber rating aide une organisation à améliorer sa gestion des cyber-risques et sa gouvernance cyber, il ne parvient pas à offrir une vision 360° des risques réellement encourus par l’organisation concernée. Il ne tient en effet pas compte du facteur humain et du comportement de chaque individu face à son écran / clavier.

Une clé de lecture majeure est donc manquante dans les notations existantes : l’évaluation des connaissances et des compétences cyber des employés d’une organisation.

Pour créer une entreprise cyber-résiliente, tous les chemins mènent… à l’homme

La prise de conscience, et les réflexes / bons comportements sont à décliner à tous les niveaux, sur 3 cercles :

1. Les équipes de direction
Conscients de la vulnérabilité de leur organisation, ils doivent prendre des mesures de façon proactive afin de prévenir les attaques. Ils sont porteurs de la transformation culturelle qui doit se mettre en place : exemplarité, communication sur les enjeux, prises de décisions éclairées, anticipation, …

2. Les salariés de l’entreprise
85% des brèches de données sont attribuées à des vulnérabilités comportementales humaines4. Les collaborateurs doivent donc être au centre des préoccupations et des plans d’actions / d’accompagnement pour mettre en place les bons réflexes.

Principales raisons de la vulnérabilité humaine :

  • Manque d’intérêt de la Direction
  • Compétence et sensibilisation insuffisante
  • Manque de responsabilisation des employés, la sécurité devant être l’affaire de tous

3. Les salariés de l’écosystème
Les organisations doivent s’assurer que leurs partenaires, fournisseurs et vendeurs ont des pratiques conformes à leurs normes de cybersécurité. Les programmes de formation et de prévention contre les risques cyber sont donc à penser au-delà des frontières de l’entreprise.

Une chaîne est aussi forte que son maillon le plus faible… vos collaborateurs peuvent donc devenir votre meilleur pare-feu !

Comment ? Grâce à une approche de bout en bout, personnalisée, surveillée et contextualisée pour traiter la vulnérabilité dues aux actions humaines.

1. « On obtient ce qu’on mesure »
Une évaluation outillée des cyber-risques liés aux comportements des collaborateurs (« Cybersecurity Behavior Assessment », CyBA ©), permet de proposer un plan d’action personnalisé, pour accroître la cyber sensibilisation. Elle est fondée sur la perception et les connaissances des employés concernant les capacités organisationnelles, capacités individuelles, et comportement avéré / déclaré des collaborateurs ( ex : stockage des données, classification des données, gestion des mots de passe, vigilance en matière de phishing, …)

2. « On balaie un escalier par le haut »
Equipe de direction et équipes managériales sont des courroies de transmission importantes à accompagner dans cette acculturation, par exemple, à travers :

  • Des sessions collectives de sensibilisation aux enjeux de cybersécurité, sur la base de cas réels et quotidiens
  • Un suivi d’indicateurs intégré aux comités de pilotage, sur l’évolution, par exemple des évaluations CyBA, ou encore des reporting de campagnes de phishing
  • la mise en place d’une performance collective au niveau exécutif pour établir une responsabilité collective
  • La revue du processus d’évaluation de la performance pour récompenser et promouvoir les comportements cyber-responsables ou sanctionner ceux à risque.

3. « C’est ce que nous pensons déjà connaitre qui nous empêche souvent d’apprendre »5
Des parcours de carrière et de perfectionnement/requalification des équipes cyber sécurité pour développer et acquérir les (toujours) nouvelles compétences requises :
– Compétences sectorielles et métier, pour permettre à l’équipe cyber sécurité d’identifier les points faibles de l’organisation, de mieux résoudre les problèmes de sécurité et d’aligner les parties prenantes sur les priorités.
– Compétences comportementales telles que la résolution de problèmes, la créativité, la communication, ou encore d’animation de réseau et de collaboration sont essentielles dans un esprit de résolution de problèmes.
– De nouveaux rôles tels que les ingénieurs en IA, les ingénieurs DevSecOps et les spécialistes de l’activation du cloud peuvent être nécessaires pour tirer le meilleur parti des pratiques et des technologies de pointe en matière de cybersécurité.

Pour aller plus loin : Améliorer votre main-d’œuvre pour la cyber-résilience | Accenture

4. « Un pour tous, tous pour un »
Enfin, l’ensemble des collaborateurs sont à sensibiliser au travers d’un parcours dédié – et continu, avec des évaluations de type CyBA régulières, permettant de cibler les sujets à renforcer – pour adopter des comportements cyber-résilients sur des sujets clés (par exemple : stockage/classification des données, sécurisation du réseau, gestion des mots de passe, etc.). Des actions spécifiques, mêlant gamification, sensibilisation, ancrages opérationnels (ex : campagnes de phishing) permettent d’accélérer l’acculturation et l’adoption des bons réflexes par tous.

La cyber-résilience est une Odyssée. Un programme d’acculturation à la cybersécurité, adressé aux dirigeants, aux équipes de cybersécurité ou aux collaborateurs de l’entreprise a de l’impact dans la durée s’il est répété, évolutif, ciblé, en mimétisme des techniques de cyberattaques et des nouvelles technologies qui émergent.

Une seule question à se poser : savez-vous quelle proportion de vos employés ouvrent des mails et cliquent sur des liens d’expéditeurs inconnus ?

 

Vous avez une question ? Contactez nos équipes :

@Anne-Juliette Planchais – Managing Director, Accenture Talent & Organization, France

@Rachel Konan – Senior Manager, Accenture Talent & Organization, France

@Dina Isreb – Manager, Accenture Talent & Organization, France

—–

1 : https://www.accenture.com/us-en/insights/security/invest-cyber-resilience
State of Cyber Resilience in Insurance l Accenture
ENISA THREAT LANDSCAPE 2021_Octobre 2021
2 : Cybercrime To Cost The World $10.5 Trillion Annually By 2025 (cybersecurityventures.com)
3 : Ces dernières années ont été marquées par le renforcement d’un nouveau paradigme de notation que l’on retrouve dans tous les domaines (finance, environnement, hôpitaux, restaurants, etc.). La cybersécurité a sans surprise rejoint cette tendance, avec le marché du cyber rating. Le Cyber rating aide une organisation à améliorer sa gestion des cyber-risques et sa gouvernance cyber, en quantifiant l’exposition au risque cyber d’une organisation, en analysant les informations accessibles au public.
Sources sur le classement des cyber risques :

4 : ENISA THREAT LANDSCAPE 2021_Octobre 2021
5 : Citation de Claude Bernard, médecin et physiologiste, et épistémologue français. Considéré comme le fondateur de la médecine expérimentale

Rachel Konan

Rachel Konan

Senior Manager, Accenture Talent & Organization, France

Voir le profil

Anne-Juliette Planchais

Anne-Juliette Planchais

Managing Director, Accenture Talent & Organization, France

Voir le profil

Dina Isreb

Dina Isreb

Manager, Accenture Talent & Organization, France

Voir le profil