Cybercriminalité, une menace croissante dans l'assurance

Cybercriminalité, une menace croissante dans l'assurance
Outre les coûts liés à la remise en état des SI, l’arrêt des activités de la MNH durant trois semaines se traduira aussi par de la perte de chiffre d’affaires. © MNH / INITIUM

Les organismes d’assurance sont particulièrement exposés au risque cyber, comme le montre l’attaque de grande ampleur, qui a paralysé les activités de la Mutuelle nationale des hospitaliers durant trois semaines en février.

« N’essayez pas de prévenir la police. Elle bloquerait tous vos comptes bancaires pour empêcher le paiement de la rançon. » Le message du groupe de pirates à l’origine de la cyberattaque de grande ampleur menée contre la Mutuelle nationale des hospitaliers (MNH), détectée le 5 février dernier, a des airs de film de série B. Dans leur revendication rédigée en anglais, ils affirmaient avoir « crypté tous les fichiers avec l’algorithme le plus fiable ». Un mode opératoire par ransomware (ou rançongiciel) bien connu des spécialistes de la sécurité informatique : les cyberpirates introduisent dans le système d’information de leur cible un logiciel malveillant qui prend les données en otage en les cryptant. Condition posée par les pirates pour le décryptage : le paiement d’une rançon.

« Le ransomware est aujourd’hui la menace prépondérante pour les entreprises », affirme Grégoire Lundi, coordinateur sectoriel finances à l’Agence nationale de la sécurité des systèmes d’information (Anssi), une instance rattachée au Premier ministre et chargée de sécuriser le déploiement du numérique en France. L’Anssi a d’ailleurs publié un guide sur cette menace, avec la Direction des affaires criminelles et des grâces (DACG) du ministère de la Justice. Et selon Olivier Meilland, adjoint à la direction des contrôles spécialisés et transversaux de l’Autorité de contrôle prudentiel et de résolution (ACPR), le secteur est à risque : « Les organismes d’assurance sont particulièrement exposés, car ils manipulent beaucoup de données personnelles, dont des informations sensibles, comme le numéro de Sécurité sociale. »

Les chiffres

  • 192 : le nombre d’attaques par rançongiciels traitées par l’Anssi en 2020, contre 54 l’année précédente.
  • 18 % : la proportion d’entreprises françaises ayant versé une rançon.
  • 11 % : la part d’entreprises qui déplorent une perte de clients suite à une cyberattaque.
  • 15 % : le nombre d’entreprises déclarant une difficulté à attirer de nouveaux clients après une attaque.

 

Prévenir les autorités…

Il va sans dire que MNH n’a pas suivi les injonctions des attaquants. « Nous avons rapidement déposé plainte et plusieurs institutions sont venues nous appuyer », se rappelle Gilles Trabet, directeur des systèmes d’information de la MNH. Il cite notamment le C3N, le centre de lutte contre la cybercriminalité de la gendarmerie, qui a confirmé l’identité du ransomware, connu sous le nom de Defray 777 ou RansomEXX. Un logiciel malveillant dont quelques clics sur un moteur de recherche confirment la notoriété. Prévenir les autorités « fait partie des bonnes pratiques pour que les institutions puissent compléter leurs bases et alerter les entreprises », souligne Sophie Bury, directrice générale adjointe de MNH.

… et ne pas payer

La MNH a bien fait de porter plainte et de ne pas payer la rançon. « Les entreprises ne doivent jamais en payer, car ce n’est pas une garantie de récupérer leurs données, et c’est aussi un risque d’être réattaqué », explique Grégoire Lundi. La mutuelle a aussi suivi les bonnes pratiques en déconnectant toutes les applications après la détection de l’attaque. Quant aux trois semaines de blocage des opérations qui s’en sont suivies, elles n’ont rien d’exceptionnel, comme en témoi­gne l’Anssi. Elles se sont, grosso modo, découpées en trois étapes. « On procède tout d’abord à une analyse de la situation et à la sécurisation du système d’information. Toutes les infrastructures ont été remises en état de “sortie d’usine”, comme lorsque l’on formate un ordinateur personnel », explique Gilles Trabet. Ensuite, tous les logiciels de base (systèmes d’exploitation) et applicatifs ont été réinstallés. Enfin, « il a fallu vérifier que tout fonctionne avant la reprise de l’activité dans la dernière semaine de février ».

Grégoire Lundi, coordinateur sectoriel finances à l’agence nationale de la sécurité des systèmes d’information (ANSSI)
« Rester humble face à la menace »

“Il faut rester humble vis-à-vis d’une menace dont le niveau est très élevé, car il y a eu l’an dernier quatre fois plus de cyberattaques qu’en 2019. Le niveau de sécurité ne peut pas se juger sur le fait qu’un attaquant soit rentré dans le système d’information d’une entreprise, surtout quand on voit les moyens dont disposent les pirates. Les cyberattaques concernent même des sociétés très matures, et il n’est pas exceptionnel, voire même fréquent, que le temps d’indisponibilité d’un site Web dépasse une semaine. Souvent, les entreprises coupent tout par précaution avant que l’infection ne se propage. Cela relève de la résilience en cas de crise, et les mesures en matière de cybersécurité doivent être considérées comme une hygiène informatique en phase avec la menace. ”

 

Tous concernés

S’il y a une leçon à retenir de cette attaque, c’est que personne n’est à l’abri. « Cela nous arrive régulièrement de détecter des tentatives de cyberattaques. Il y a des attaques de masse, des attaques par opportunisme et des attaques ciblées. Il faut noter que la crise sanitaire a contribué à mettre en avant les acteurs du monde de la santé », remarque Romain Drappier, directeur des risques opérationnels chez AG2R La Mondiale – seul organisme d’assurance à avoir répondu à nos questions parmi plusieurs contactés par L’Argus.

Face à une menace quotidienne ou presque, la première ligne de défense est le plan de continuité d’activité (PCA). « C’est une obligation en matière de gestion des risques », souligne Sophie Bury. Elle découle du règlement délégué 2015/35 du 10 octobre 2014, qui complète la directive Solvabilité 2. « Aujourd’hui, la mena­ce cyber est de plus en plus prise en compte dans les plans de continuité d’activité. Il y a dix ans, c’était en priorité les risques de type incendie, indisponibilité des ressources, ou encore pandémie », note Romain Drappier.

Si l’on en croit la dernière enquête réalisée par l’ACPR en 2019 sur la gestion de la sécurité des systèmes d’information (SI) des assureurs, ces derniers peuvent mieux faire. « Il faut que les PCA soient bien alignés sur les besoins des métiers, que l’on puisse assurer un fonctionnement en mode dégradé et tester au moins chaque année les plans de secours », relève Olivier Meilland. Il insiste aussi sur « l’importance de l’implication des dirigeants d’une part, et sur le renforcement des mesu­res de sécurité d’autre part : revue régulière des droits d’accès aux applications et des comptes, mise à jour du parc informatique et gestion des versions notamment sont impératives ».

Rester transparent

Se pose par ailleurs la question de savoir dans quelle mesure la pratique massive du travail à distance constitue un facteur de risque. « À ce stade, nous n’avons pas suffisamment de recul pour démontrer que le télétravail a contribué à une hausse des attaques. Mais sa généralisation doit s’accompagner de réflexions sur la sécurité des usages dans des environnements informatiques domestiques », souligne le représentant de l’ACPR. Autre point de vigilance : l’organisation des SI. « Avec la croissance externe, un certain nombre d’acteurs se retrouvent avec des systèmes d’information hétérogènes. Cela augmente la vulnérabilité et il est difficile d’avoir un niveau homogène de sécurité », met en garde Florence Bonnet, associée au cabinet TNP Consultants.

Enfin, cette crise aura bien sûr un coût pour la MNH. « Il y a les coûts directs liés à la résolution de la crise, mais aussi la perte de chiffre d’affaires », constate Sophie Bury. Mais elle est convaincue que le choix d’une communication transparente, « dans la droite ligne des valeurs défendues par la mutuelle », dès le début de la crise sera payant : « Nous nous doutions que cette attaque aurait des impacts sur notre activité plusieurs semaines durant, donc autant dire tout de suite ce qu’il en est. »

Testez L'Argus de l'assurance en mode abonné. Gratuit et sans engagement pendant 15 jours.

Le Magazine

ÉDITION DU 15 octobre 2021

ÉDITION DU 15 octobre 2021 Je consulte

Emploi

ALLIASS

Gestionnaire sinistres IARD Confirmé H/F

Postuler

EASYBLUE

Conseiller souscripteur Assurances Pro - spécialiste Risques d’Entreprise H/F

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

Commentaires

Cybercriminalité, une menace croissante dans l'assurance

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié