En vérité, les compagnies d’assurance ne peuvent pas se protéger complètement des cyber-attaques, car des brèches sont inévitables dans ce mouvement général d’ouverture à internet et d’interconnexion des réseaux. En conséquence, outre le renforcement des barrières de sécurité, les organisations doivent aussi s’attacher à accroître leur capacité de résilience, c’est-à-dire leur capacité à se relever après une attaque ou tout autre incident de sécurité et à rétablir un fonctionnement normal en minimisant les impacts de la disruption.

Face aux cyber-menaces, les assureurs doivent ré-imaginer le management du risque à l’ère du digital. Il ne suffit plus de s’abriter des barrières protectrices réputées suffisantes. Les cyber-attaques ne se conjuguent pas au conditionnel, « quand nous seront attaqués », mais au futur proche « quand et où ».

Les menaces sont multiples et les assaillants renouvellent sans cesse leurs modes opératoires. Une attaque informatique nécessite peu de moyens, et des relais à l’intérieur même des compagnies d’assurance peuvent être utilisés, éventuellement à leur insu. Il est impossible de prétendre combler toutes les brèches potentielles. Les mesures préventives peuvent ralentir les malfaiteurs, elles doivent également s’efforcer de limiter leur potentiel de nuisance dans la mesure où ils ne pourront pas tous être stoppés.

Selon les études, moins de la moitié des assureurs considèrent leurs systèmes de défense comme pleinement opérationnels et un très petit nombre d’entre eux testent de manière continue et proactive leurs systèmes de prévention par rapport aux attaques directes et aux pannes intentionnelles.

Pour les autres, il s’agit d’une occasion manquée d’identifier en amont de la survenance des problèmes les zones de vulnérabilité. En effet, la résilience suppose une évaluation la plus correcte possible des risques, une surveillance adaptée et l’amélioration continue des dispositifs de contrôle et de réponse aux incidents.

Nous sommes convaincus que les assureurs doivent aller au-delà des scenarios préparés à l’avance et, par exemple, tester des cas d’usurpations d’identité avancées, qui peuvent être menées par des groupes internes ou externes pour essayer de percer les défenses de la compagnie, scruter les réseaux, les applications et tous les systèmes informatiques. Riches de ces enseignements, les professionnels de la sécurité peuvent ensuite en tirer des leçons et adapter leurs dispositifs.

Les assureurs qui réfléchissent aux meilleurs moyens de parer les cyber-risques font face à au moins 4 types de défis :

  • Une organisation interne en silos ;
  • Une sensibilisation insuffisante des membres de l’entreprise, et par conséquence un manque d’implication ;
  • Une prédominance des actions de formation et de communication, pas toujours intégrées avec un cadre général d’actions opérationnelles et techniques ;
  • Un manque de ressources engagées et compétentes.

Nos études montrent que 14 % des assureurs seulement ont vraiment intégré les questions de résilience dans leurs modèles de risques opérationnels et dans leur architecture informatique.

Les programmes les plus avancés pour la gestion des risques technologiques incorporent tous des normes de développement des pratiques, la surveillance des données et des systèmes, ainsi que des tests d’intrusion.

Les assureurs opèrent dans un monde aujourd’hui de plus en plus connecté, il leur faut donc disposer de structures, de technologies et de processus adaptés pour bâtir la résilience.

Pour en savoir plus :

Lire : Cyber-résilience : relever le défi des cyber-risques

Lire : Comment les compagnies d’assurance peuvent renforcer la résilience face au cyber-risque

Télécharger l’infographie : Comment les compagnies d’assurance peuvent développer leur résilience aux cyber-risques

Submit a Comment

Your email address will not be published. Required fields are marked *