Dans mon précédent post, j’ai abordé le sujet de la cyber-résilience, qui consiste pour les assureurs à préserver leur capacité à opérer leurs processus commerciaux et de gestion dans des scénarios normaux et adverses, en minimisant les effets indésirables d’une cyber-attaque non stoppée par les barrières de protection mises en place.

La cyber-résilience doit permettre à la compagnie de :

  • Identifier en amont les zones de vulnérabilité, mettre en place les moyens de prévention et de   détection ;
  • Définir des plans de remédiation permettant d’optimiser les temps de prise en charge et de réparation ;
  • Définir des procédures de contournement pour réduire les impacts sur les opérations de l’entreprise et vis-à-vis de ses clients, en particulier les atteintes à sa réputation et les pertes financières.

Les assureurs doivent également tenir compte des évolutions règlementaires de plus en plus contraignantes en matière de protection des données. Par exemple, l’Union Européenne a adopté en avril 2016 une ambitieuse réforme dans le domaine de la protection des données à l’ère numérique (qui devra être transposée en droit national d’ici 2 ans). Ce règlement général fixe notamment les obligations des entreprises en charge du traitement de ces données (en particulier les mesures de sécurité appropriées aux risques que comportent les opérations de traitement de données qu’elles effectuent – les assureurs faisant figure de secteur d’activité à fort contenu en données). Chaque cyber-incident devra faire l’objet d’une notification aux autorités compétentes dans des délais restreints et les entreprises qui enfreignent les règles s’exposent à des amendes qui pourraient s’élever jusqu’à 20 millions d’euros ou à 4 % de leur chiffre d’affaires annuel mondial.

Les trois piliers de la cyber-résilience

Dans ce contexte, les assureurs européens ne devraient plus limiter la gestion du cyber-risque au seul scénario du pire.

Les cyber-risques étant multidimensionnels, les stratégies de cyber-résilience doivent donc se concentrer sur la gestion de trois natures de risques :

1/ Les risques sur les systèmes d’information et l’infrastructure informatique

Au minimum, les principaux programmes de gestion des risques technologiques incorporent les éléments suivants :

  • Des normes de développement et des architectures pour que les applications, systèmes et infrastructures informatiques soient élaborés et développés en tenant compte du cyber-risque.
  • Des systèmes de surveillance des données et de contrôle pour identifier, évaluer et répondre aux vulnérabilités ou violations potentielles.
  • Des tests d’intrusion pour vérifier la résilience des dispositifs face à des attaques et alimenter une démarche proactive d’amélioration continue.

2/ Les risques opérationnels

Un programme de gestion du risque opérationnel doit inclure les éléments suivants :

  • La définition d’un niveau maximum de tolérance au risque : celui-ci va permettre de fixer les niveaux de résilience à atteindre par les programmes de gestion du cyber-risque.
  • L’évaluation du risque technologique et du niveau d’exposition des processus métiers, qui vise à détecter les failles potentielles dans les opérations commerciales et de gestion et définir les dispositifs de contrôle.
  • Les examens de vérification pour contrôler l’efficacité des mesures en place, qui visent à en évaluer la pertinence et aider à identifier et prévenir d’autres zones de vulnérabilité.
  • Et au final, l’intégration dans un cadre général d’identification, de prévention, de détection et de réponse aux cyber-risques.

3/ Le crime financier et la fraude

Les éléments principaux incluent :

  • La surveillance : la capacité à surveiller et à détecter les anomalies survenant à l’intérieur de l’entreprise.
  • Des dispositifs de veille : des processus opérationnels conçus pour être à la fois conformes et en alerte face à d’éventuelles défaillances ou activités malfaisantes.
  • Le partage d’expérience à l’intérieur de l’industrie : partager des informations sur les attaques pour améliorer les techniques de détection et de réponse et pour aider à réduire les pertes liées à la fraude et à la criminalité financière.

L’approche de la cyber-résilience nécessite d’associer différentes capacités de contrôle des risques et de sécurité. J’en parlerai dans mon post final de cette série.

Pour en savoir plus :

Lire : Cyber-résilience : relever le défi des cyber-risques

Lire : Comment les compagnies d’assurance peuvent renforcer la résilience face au cyber-risque

Télécharger l’infographie : Comment les compagnies d’assurance peuvent développer leur résilience aux cyber-risques

Submit a Comment

Your email address will not be published. Required fields are marked *