Au-delà des interruptions et des pertes d’activités, les défaillances de sécurité peuvent avoir des conséquences importantes sur la réputation de l’entreprise visée, et par extension sur la relation des assureurs avec leurs clients. Début juillet, le régulateur a publié 25 orientations destinées à renforcer la cybersécurité des compagnies d’assurances. La formation en fait partie.
Vingt milliards de dollars : c’est ce qu’ont coûtés les dommages causés par des attaques de rançongiciels en 2021 dans le monde, selon le Rapport sur les risques de cybersécurité 2020 publié par AON, citant des données préalablement rendues publiques. C’est près du double qu’en 2019, où elles ont totalisé 11,5 milliards de dollars. En France plus spécifiquement, on peut mieux faire. C’est en substance la conclusion à laquelle est parvenu le régulateur financier, l’ACPR, face au degré de préparation des compagnies d’assurance à la déferlante du risque cyber. Il faut dire que les entreprises financières ne sont pas épargnées par ce risque. « Le secteur financier demeure le secteur le plus ciblé par les cyberattaques », indique l’ACPR. Les assureurs ont particulièrement en effet souffert au cours de ces derniers mois. Des acteurs majeurs, sur toute la chaîne de valeur assurance (compagnies, mutuelles, courtiers) tels que MMA, MNH, VERLINGUE, ou encore AON, ont subi des attaques, tandis qu’Axa a également été victime d’une fuite de données dans l’Hexagone. Début juillet, le régulateur a ainsi publié une notice dans laquelle il précise 25 orientations. Le document vise à garantir que les entreprises du secteur respectent les orientations de l’autorité européenne des assurances (Eiopa) sur la sécurité de l’information, et la gouvernance des Technologies de l’Information et de la Communication (TIC). Elle vise aussi à s’assurer que ces mêmes entreprises respectent « les diligences à effectuer par les organismes d’assurance et de réassurance afin de tenir compte de l’importance de la gestion du risque des nouvelles technologies de l’information et de sa prise en compte par la gouvernance ».
Une meilleure proportionnalité
La première de ces orientations invite à une meilleure proportionnalité : « les entreprises devraient respecter les dispositions stipulées dans les présentes orientations eu égard à la nature, à l’ampleur et à la complexité des risques inhérents à leur activité » souligne ainsi le rapport. S’ensuivent aussi un certain nombre de recommandations sur le système de gouvernance des entreprises et tout particulièrement son adéquation avec la gestion des risques cyber, sur la stratégie des assureurs, les risques etc… Le gendarme français des assurances place aussi au centre du dispositif le rôle des dirigeants, tenus pour « responsables de la définition, de la validation, du déploiement et du suivi de cette stratégie au titre de leur responsabilité générale sur la bonne marche de l’entreprise et de la maîtrise des risques ». L’ACPR s’intéresse également à la déclaration des incidents et conseille aux assureurs de « surveiller et consigner les incidents opérationnels et de sécurité, et de déterminer des critères pour classer ces incidents en fonction de leur nature. » Les compagnies d’assurance sont enfin sommées de s’assurer du respect des exigences dans le cas d’appel à des prestataires extérieurs.
La mise en œuvre de programmes de formation : une recommandation de l’ACPR
Parmi ses recommandations, l’ACPR met en évidence l’importance de la mise en œuvre de programmes de formation à la sécurité de l’information pour l’ensemble des collaborateurs de l’assurance, « afin de s’assurer qu’ils soient formés à l’exécution de leurs tâches et responsabilités pour limiter l’erreur humaine, le vol, la fraude, les abus ou les pertes » selon le rapport en précisant que « les entreprises devraient veiller à ce que le programme de formation dispense régulièrement des formations à l’ensemble du personnel ». La vigilance et la réaction humaine personnelle ont en effet permis de réduire considérablement le risque en matière de cybersécurité des entreprises, puisqu’il s’agit du moyen de prévention ayant le plus permis de déjouer des attaques en 2020 (62% grâce aux déclaration de suspicion, contre 48% pour les dispositifs techniques).
Kalea Digital & Formation accompagne les acteurs du secteur de l’assurance dans la prévention des risques cyber. Nous mettons à votre disposition un parcours 100% digital, e-learning ou classes virtuelles, pour aider l’ensemble de vos collaborateurs à développer les bonnes pratiques et à rester vigilants au quotidien. Les recommandations de nos experts leur permettront non seulement de mieux comprendre le cyberspace pour anticiper les risques mais aussi de connaître le panorama des différents types d’attaques Cyber pour mieux s’en prémunir. Grâce à cette formation, vos collaborateurs seront en mesure de garantir la sécurité de leur poste de travail et de protéger les données de l’entreprise.
Contactez-nous pour en savoir plus sur notre parcours de formation 100% personnalisable !
