Dans mon dernier post, j’ai regardé ce que recouvre la notion de cyber-résilience. Il s’agit pour les assureurs de se préparer aux nouvelles lois et réglementations sur la protection des données, mais au-delà des aspects réglementaires, il y a aussi pour les assureurs un risque opérationnel, de réputation, et au final financier, à ne pas se protéger de manière adaptée au cyber-risque.

Voici donc une démarche en 4 étapes que les assureurs peuvent suivre pour améliorer leur cyber-résilience :

1/ Identification

Les assureurs doivent développer leurs capacités à identifier les endroits où des cyber-attaques ont le plus de risque de survenir afin de les prévenir, ou à minima pouvoir les détecter et y répondre rapidement en cas de survenance. Quels scénarios peuvent aider afin d’éviter de tels incidents de manière proactive ? Quelle stratégie de réduction des risques mettre en place afin de faire face aux impacts avant qu’ils ne se concrétisent ?

2/ Prévention

Plusieurs questions se posent, et doivent s’intégrer dans un cadre cohérent et global de contrôle, à la fois au niveau informatique et au niveau des opérations.

Par exemple côté informatique, les processus d’accès aux outils et aux données sont-ils pensés de manière appropriée ? Des standards tels que l’ISO5 sont-ils bien utilisés dans les processus de développement des applications ? Le cyber-risque est-il bien pris en compte dans les choix d’architecture et d’infrastructure ?

3/ Détection

La détection inclut divers moyens de mesure pour identifier et orienter la prise en charge d’un problème cyber dans toutes ses dimensions pour en minimiser les impacts sur le fonctionnement de l’entreprise. Cela inclut la surveillance opérationnelle, la mise en place des outils pour identifier et détecter les menaces parallèlement à leur intensification.

Actuellement, dans la plupart des entreprises, la surveillance est un processus réactif. Les outils sont basés sur des modèles antérieurs afin de déterminer à quel endroit les attaques peuvent surgir. En cyber-surveillance, il faut devenir plus proactif.

4/ Réponse

En cas d’attaque, les assureurs doivent pouvoir s’appuyer sur un plan d’intervention et un cadre de gestion de crise, permettant de prendre en charge de manière efficiente l’incident et alerter et coordonner la réponses des parties impliquées. Toutes les lignes de défense doivent être passées en revue afin d’identifier les zones de risques et les améliorations continues à apporter afin de fournir aux principales parties prenantes un état des lieux clair et les éléments d’un plan d’action.

Les assureurs ne peuvent pas se prémunir à tout moment d’une myriade d’attaques potentielles via de multiples canaux. C’est pourquoi la mise en place de structures, technologies et processus pour construire la résilience, ou la restauration rapide, est vitale pour opérer dans le monde connecté au sein duquel ils évoluent maintenant.

Il importe de noter que ce nouveau paysage des cyber-risques constitue aussi une opportunité pour les assureurs européens. Selon un réassureur de premier plan, le marché global de la cyber-sécurité pour les assureurs est estimé à environ 1,5 milliard de dollars en primes brutes émises. Le potentiel est palpable : les Etats-Unis représentent déjà 1 milliard de dollars de primes et l’Europe seulement 150 millions. Mais pour adresser ce nouveau marché de manière maîtrisée, encore faut-il au préalable se doter à la fois des moyens d’en estimer les risques et des dispositifs pour les contrôler, à son propre niveau, mais également au niveau de l’exposition de ses clients…

Pour en savoir plus :

Lire : Cyber-résilience : relever le défi des cyber-risques

Lire : Comment les compagnies d’assurance peuvent renforcer la résilience face au cyber-risque

Télécharger l’infographie : Comment les compagnies d’assurance peuvent développer leur résilience aux cyber-risques

Submit a Comment

Your email address will not be published. Required fields are marked *