[DOSSIER] Cyber assurance 3/3

Comment les assureurs se protègent contre les cyberattaques

Comment les assureurs se protègent contre les cyberattaques
DR

Pour se protéger des cyberattaques, les assureurs mettent en place des procédés plus ou moins élaborés. Mais le risque zéro n’existant pas, ils s’assurent entre eux.

Comme toute entreprise, les sociétés d’assurances font face quotidiennement à des cyberatta­ques en tout genre. Une compa­gnie d’envergure internationale confie ainsi subir une dizaine de millions de cyber assauts par mois. Elles prennent donc le sujet très au sérieux. « Nous sommes attentifs à tous les types d’atta­ques : du simple phishing jusqu’à l’intrusion de logiciels malveil­lants qui visent à détruire nos systè­mes d’information ou à altérer nos bases de données », indi­que José Pérez, responsable de la sécurité de l’information chez Allianz France. L’attaque la plus redoutée reste celle à base de « rançongiciel » : « Un programme malveillant qui vient chiffrer les données informatiques et les rend totalement inutilisables », expli­que Jean-Paul Joanany, responsable de la sécurité des systèmes d’information de Generali France.

Loups solitaires ou membres à part entière d’organisations crimi­nelles, les hackers deman­dent ensuite une rançon adaptée à la taille de l’entreprise en échange de la levée du blocage. « La consigne, dans le groupe, est claire : nous ne payons jamais », déclare le dirigeant d’une compa­gnie chez qui le budget alloué à la sécurité informatique atteint 6 % de l’enveloppe IT ­globale avec 120 personnes dédiées à plein-temps à la prévention et à la chasse aux intrus. Colossal.

Baisse de la productivité

En tant qu’institution financière, les assureurs sont aussi sous la menace « des activistes qui agis­sent souvent par idéologie pour perturber l’activité de l’entreprise », indique Jean-Paul Joanany. Ces hackers utilisent le plus souvent l’attaque par déni de service dite DDoS dont « la finalité est de rendre le site Web ou l’Extranet de l’entreprise visée inaccessible pour l’ensemble de ses clients et de ses partenaires », précise Jean-Paul Joanany. Ces potentielles cyberattaques « nous empêcheraient d’être productifs le temps de restaurer le système », déplore José Pérez. Par ailleurs, « elles pourraient avoir un impact ­négatif sur la confiance de nos clients qui nous confient des données sensibles », ajoute-t-il.

Pour faire face, les assureurs déve­loppent donc des procédés plus ou moins élaborés. « Nous avons mis en place des dispositifs de sauvegardes régulières de nos données qui nous permettraient, en cas d’attaque, de restaurer rapi­­dement notre système d’information », détaille Jean-Paul Joanany.

Sauvegarder les données

« Nous sensibilisons également nos agents généraux aux cyber­attaques, car nous sommes en partie responsables de leur systè­me d’information », ajoute-t-il. De son côté, Allianz France utilise des logiciels de détection d’intrusions pour « avoir la capacité de maîtriser le plus vite possible la progression des potentielles attaques », indique José Pérez. En outre, les responsables des systèmes d’information des grandes entreprises se réunissent régulièrement pour « discuter de ce qui se passe sur le DarkNet et le Deep Web », indique José Pérez. Et pour être tenus informés, les assureurs paient des sociétés spécialisées chargées de décrypter les nouvelles techniques des hackers.

Pas de risque zéro

Mais malgré toutes ces initiatives, le risque zéro n’existe pas. « Aucune société n’est à l’abri de toutes ces attaques, pas même Facebook ou Amazon », affirme Jean-Paul Joanany. C’est pour cela que les assureurs… s’assurent contre les dégâts des attaques virales, princi­palement afin d’obtenir le soutien nécessaire pour reconstrui­re leurs bases de données altérées. Le groupe Generali étudie la possibilité de s’assurer contre le risque cyber « en première ligne auprès d’un assureur pour la majeure partie de la couverture, puis auprès d’autres assureurs pour le reste », indique Jean-Paul Joanany. Une compagnie affirme s’auto-assurer.

Un danger empirique

Toutefois, le risque cyber reste mal maîtrisé. Il n’y a qu’à voir les offres de couvertures aux entreprises : hormis les inciter à acheter de bons pare-feu ou à sauvegarder régulièrement leurs données, les assureurs n’ont pas moult solutions à proposer. « Nous [les assureurs] recherchons encore les paramètres qui vont nous permettre de cibler le risque cyber de manière plus précise. Le manque de recul sur ce type de sinistres ne nous permet pas encore d’avoir cette vision. Le spectre des attaques est, en effet, tellement large qu’il est très délicat d’élaborer des couvertures tota­lement adaptées », concède José Pérez. Trouver des solutions à l’avènement de ce nouveau risque : voilà l’un des grands défis du XXIe siècle pour les assureurs.

L'omerta des entreprises

Les entreprises qui ont subi des cyberattaques n’aiment, généralement, pas s’attarder sur le sujet. Elles se contentent du strict minimum par le biais d’un bref communiqué indiquant qu’elles « mobilisent leurs équipes » pour résoudre « au plus vite la situation ». Il faut, en fait, attendre la publication des résultats financiers pour mesurer les effets de l’assaut. Par exemple, Saint-Gobain, victime de NotPetya le 27 juin dernier, a annoncé lors de ses résultats semestriels que ses ventes étaient « impactées négativement » à hauteur de 220 M€ en 2017. Au-delà, on ne s’étale pas. L’Argus de l’assurance qui a essuyé de nombreux refus d’interview d’entreprises de toute taille victimes de cyberattaques, peut en témoigner. Le risk manager d’une enseigne française de grande distribution justifie tout de même cette politique du silence : « Demander aux entreprises de s’exprimer sur les cyberattaques, c’est mettre le doigt sur ce qui fait mal, montrer qu’elles sont dépassées par les événements et que les process ne sont pas assez bien cernés. Il reste très difficile de mettre en place les bonnes organisations pour faire face à ces risques », explique le gestionnaire de risques, soucieux de ne pas nuire à la réputation de son entreprise. Selon lui, « les assureurs ne sont pas encore capables de nous accompagner efficacement ». Dans ce contexte, « mieux vaut ne pas se répandre sur la place publique », conclut-il. D’autant que cela pourrait exciter la fibre hackeuse d’un délinquant du Net. Franck Recoing, cogérant du courtier GSA Marseille, le confirme : « Aucune entreprise ne souhaite que ses clients – ou pire son banquier – ne découvrent qu’elle est mal protégée et que son système de sécurité est perméable… ». Un enjeu de crédibilité.

 

Emploi

KAPIA RGI

Chef de Projet Assurance-Vie H/F

Postuler

KAPIA RGI

Ingénieur Développement PHP5/ZEND (H/F)

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

Commentaires

Comment les assureurs se protègent contre les cyberattaques

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié