« LES DIRIGEANTS DE L’ASSURANCE FACE AU RISQUE CYBER » – SYNTHESE DU PETIT-DEJEUNER UDAP DU 26 MAI 2021
Les attaques cyber rapportent aux organisations criminelles plus de 1 000 milliards d’euros par an, soit 5 fois plus que le trafic de drogues. D’où une multiplication des hackings. Quel est l’état de la menace aujourd’hui ? Quelles sont les nouvelles vulnérabilités exploitées ? Quelles sont les conséquences pour un assureur victime ? Quel rôle l’assureur peut-il jouer auprès de ses clients ? En quoi les choix de la Place peuvent-ils avoir un impact systémique sur la menace ?
Philippe Luc, Co-fondateur et Président ANOZR WAY, a apporté son éclairage. Après un début de carrière dans l’Assurance et 12 ans chez Malakoff-Humanis, il a créé en 2019 ANOZR WAY pour aider les entreprises à protéger leurs actifs contre les nouvelles méthodologies d’attaques d’origine cyber. Cette start-up propose en effet une solution logicielle automatisée d’anticipation des cyber-attaques, en mode Saas*. Reconnue par les acteurs du secteur, l’entreprise a déjà levé plus de 2 millions d’euros.
1/ L’état de la menace
• Les cyberattaques les plus répandues concernent à 70 % des logiciels rançonneurs (ransomware) via l’envoi de mails piégés ou après usurpation d’identité (pishing) ;
• 58 % des victimes de vols de données sont des PME ;
• 77 % des entreprises ont été victimes, au moins une fois, d’une tentative de fraude.
• Le nombre de cyberattaques a été multiplié par quatre en 2020 par rapport à 2019.
• La France est le 2ème pays au monde le plus touché
• 41 % des demandes d’indemnisations coûtent entre 1 000€ et 2 millions d’euros en France et concernent les ransomware pour une perte de 5,5 milliards d’euros.
• 2 attaques sur 3 s’appuient sur des données exposées sur le web.
• Ces attaques par ruse frappent le secteur de l’Assurance :
– Le Groupe Covéa, le 17 juillet 2020 : les assaillants réussissent à pénétrer dans les systèmes et surtout dans l’intranet ;
– La MNH, le 5 février 2021 : après intrusion dans le système informatique, les équipes le débranchent pour stopper la propagation du virus, mais 800 000 dossiers sont volés.
– Axa Asie, le 16 mai 2021 : les assaillants pénètrent l’intranet pour accéder à toutes les filiales du Groupe en Asie. Un vol de données sensibles a pu être commis.
– Stelliant, le 18 mai 2021 : les assaillants pénètrent le système informatique pour installer un ransomware et le paralysent.
2/Le dirigeant est une cible
• La « pêche au gros » vise d’abord les dirigeants. Les pirates épient leur vie privée sur Facebook (ou celle de leurs amis), sur Google ou même le Dark web (web clandestin) pour mieux les connaître. Ils leur envoient ensuite un mail qui inspire confiance sur leur boîte professionnelle, un mail piégé bien sûr. A titre d’exemple, en 2018, un dirigeant avait exposé sa passion pour l’automobile. Les pirates s’y sont intéressés et ont trouvé qu’il utilisait les mêmes adresse mail, identifiant et mot de passe, pour ses activités au sein de son Club automobile et dans son entreprise. Après usurpation d’identité, il a reçu une invitation à un événement automobile avec une pièce jointe piégée, sur sa boîte mail professionnelle. Cette attaque aurait pu aussi se produire via un SMS. Ce type de piratage fait appel à des techniques d’ingénierie sociale. C’est-à-dire qu’elles pratiquent la manipulation psychologique à des fins d’escroquerie.
• L’empreinte numérique laissées par les données sur l’espace cyber peut s’avérer risquée pour une entreprise, si elle n’est pas connue ou non maîtrisée, car elle constitue la matière première des attaquants.
3/ Le dirigeant doit protéger le trésor de l’entreprise
• Un dirigeant d’une entreprise d’assurance qui s’est assurée contre le risque cyber doit éviter de le transférer à la Direction financière et ne plus s’en préoccuper, car en cas d’intrusion des pirates avec demande de rançon, le trésor de l’entreprise est attaqué. Et pour le protéger, il faut arrêter totalement le système informatique avec des conséquences multiples :
– plus d’encaissement ni remboursement de sinistres ;
– plus de prise en charge des assurés ;
– des commerciaux à l’arrêt ;
– les plateaux de service client explosent sous les appels
– les fournisseurs attendent d’être payés et les collaborateurs aussi.
4/Le profil des cyber-attaquants
• L’opportuniste : 80 % des attaques émanent de pirates qui, avec peu de budget, achètent sur internet les données permettant de vous attaquer et souvent font leur apprentissage sur YouTube.
• Le maître-chanteur : il veut nuire à votre image, saboter votre outil de production et faire du mal. Cela représente 15 % des attaques. Il dispose de plus de temps et de budget pour faire des recherches ciblées.
• Le cybercriminel : plus organisé et doté d’un budget important, sa motivation est le vol de données pour les revendre. Il demande des rançons. Les cybercriminels sont très peu nombreux mais ils ont accès beaucoup de données.
• Le hacker d’Etat : il dispose d’un temps infini pour attaquer, voler, espionner un Etat, une entreprise stratégique… entre autres.
Il est important d’identifier le type d’attaque pour mettre en place un process adapté.
Le pirate s’intéresse aux donnés des assurés (ses coordonnées bancaires utilisées pour prélever les cotisations et rembourser les sinistres) et aux fonds gérés par les assureurs.
La cible des attaques n’est donc pas le RSSI (Responsable de la Sécurité des Système d’Information), mais les dirigeants et les collaborateurs via leur messagerie ou leur accès au système informatique
5/Les personnes clés à protéger
• En cas d’intrusion, les problèmes sont d’ordre opérationnels et d’image. Les dirigeants sont donc responsables. Il faut les identifier et les protéger. Ce sont des membres de Comex et Codir, des collaborateurs avec des accès sensibles ou des activités critiques (stratégie, R&D, innovation, administration, comptabilité et finances…) ou des personnes clés dont le niveau d’exposition donne accès ou expose des données ouvrant des vulnérabilités.
• Les dirigeants doivent être plus sensibles à la cybersécurité lors de l’élaboration des budgets. Les PME n’y consacrent que 1 000€/an en moyenne et les assureurs entre 1 et 10 % de leur budget informatique.
• Faire des économies sur la cybersécurité est un mauvais calcul qui explique peut-être que la France soit le 2ème pays au monde le plus touchés par les cyberattaques.
• Le rôle de l’Assurance est de protéger les assurés. La cyber assurance est promise à une belle croissance mais même avec une hausse des primes de 10 % par an, il n’est pas sûr que cela soit si profitable compte-tenu de la dérive du risque cyber.
• Il faut apporter plus de services de prévention du risque et procéder à son évaluation en permanence, car les actuaires manquent de données pour établir leurs tarifs.
• De nombreuses entreprises assurées ne comprennent pas le niveau élevé des franchises et les délais de traitements des dossiers. Par ailleurs, les audits techniques sont mal vécus. Il existe un risque de rupture de confiance des clients à l’égard des assureurs.
• Le marché de la cyber assurance va continuer à progresser, mais en 2022, le contexte est défavorable, car le risque est réel et les dirigeants en sont conscients, parce que certains assureurs subissent jusqu’à 100 000 attaques par an.
6/Quelques mesures simples de cyber hygiène
• Mettez à jour vos appareils, vos logiciels et vos antivirus
• Sauvegardez !
• Gérez vos mots de passe
• Evitez les comportements à risques
• Mettez en place des garde-fous (authentification forte, accès restreints, désactivation des ports USB)
• Sensibilisez vos collaborateurs
• Rendez privées vos données publiques dans vos réseaux sociaux
• Exposez prudemment votre vie privée sur Internet
• Faites un check-up régulier de votre exposition numérique sur Internet
*SaaS (Software as a Service) ou Les Logiciels en tant que Service sont des logiciels qui sont hébergés sur le serveur d’un prestataire accessibles à distance facturée sous forme d’abonnement ou en proportion de l’utilisation de ressources.
Vous pouvez télécharger le support de présentation ici