Les assureurs ont récemment découvert qu’ils n’étaient pas aussi « à l’abri » des cyberattaques qu’ils ne le pensaient. Bien sûr, on pourrait affirmer que dans un monde devenu si mondialement connecté, les vulnérabilités sont inévitables. Mais qui aurait pensé que les failles dans l’armure des géants de l’assurance viendraient de leurs fournisseurs tiers ? Exactement comme le dit le dicton, « l’enfer est pavé de bonnes intentions ».
Quand les maillons faibles deviennent des portes ouvertes
Imaginez un château robuste, solidement défendu avec des murailles hautes, mais dont le pont-levis est resté légèrement entrouvert. C’est ce qui se passe pour les assureurs. Selon un rapport récent de SecurityScorecard, bon nombre des brèches de sécurité dans le secteur découlent des fournisseurs tiers. Pas besoin d’être un expert pour comprendre que si une entreprise A repose sur une entreprise B pour gérer tout ou partie de ses opérations, la sécurité de B impacte directement A. La dépendance à l’égard de ces fournisseurs pour des raisons logistiques ou technologiques a révélé des vulnérabilités auparavant insoupçonnées.
Mais où se situe exactement le hic ? En fait, bien que les assureurs puissent afficher d’excellents scores de sécurité, les cybercriminels exploitent les partenaires plus vulnérables. Ce point mérite vraiment réflexion, surtout quand on apprend que les rançongiciels continuent de s’imposer comme la menace dominante. Saviez-vous que les intrusions liées à ces tiers permettent aux opérateurs de ces logiciels malveillants d’étendre facilement leurs opérations ? C’est un peu comme si on donnait aux hackers la clé universelle des systèmes.
Les chiffres qui parlent d’eux-mêmes
En parcourant le rapport, on ne peut qu’être frappé par certaines statistiques. Par exemple, parmi les 150 grandes entreprises d’assurance à l’échelle mondiale, 56 % ont subi au moins une compromission d’identifiants au cours des deux dernières années. Et parmi elles, 17 % ont été touchées par des logiciels malveillants et des compromissions d’appareils. Sans oublier le fait que les entreprises américaines se révèlent particulièrement vulnérables avec un nombre impressionnant d’identifiants compromis.
Une variable intéressante, n’est-ce pas ? Ces chiffres ne font que renforcer la nécessité pour les assureurs d’adopter des pratiques robustes de gestion des risques liés aux tiers, surtout lorsqu’elles traitent avec des partenaires provenant de pays comme les États-Unis et la Chine.
Des solutions en vue
Personne ne souhaite clore un sujet aussi épineux sans évoquer quelques solutions envisageables. SecurityScorecard, dans sa sage expertise, recommande aux assureurs de se pencher sérieusement sur les pratiques de gestion des risques des partenaires tiers. Il importe que ces derniers ne se contentent pas de satisfaire des normes minimales de sécurité, mais qu’ils adoptent des politiques rigoureuses de Third-Party Risk Management (TPRM).
Une attention particulière devrait également être portée aux agences, courtiers, ainsi qu’aux fournisseurs de logiciels IT, qui semblent être le talon d’Achille du secteur. Bien que les assureurs et réassureurs obtiennent souvent les meilleurs scores en cybersécurité, ces acteurs intermédiaires ne peuvent pas être négligés. Il suffit parfois d’un élément faible pour faire basculer tout un système.
Quand on creuse un peu, on réalise à quel point l’interconnexion des réseaux rend rapidement les choses compliquées. C’est un peu comme essayer de fermer un parapluie lors d’une tempête : on lutte contre les éléments tout en veillant à ne pas les aggraver.
En fin de compte, et en parlant de sécurité, une question résiduelle que chacun pourrait se poser serait : « Que prévoyons-nous pour les prochaines années ? » En tenant compte de l’accélération technologique et de l’IA gagnant en influence, il ne serait pas surprenant de voir surgir de nouvelles solutions alliant science des données et protections assurantielles.
C’est une époque fascinante pour suivre l’évolution de la cybersécurité dans le secteur de l’assurance. Et pour ceux d’entre vous qui veulent rester en première ligne, nous vous guidons à chaque étape. Nous ne nous contenterons pas de vous raconter ce qui arrive : ensemble, nous explorerons ce que cela signifie.
