Risque cyber croissant sur l'assurance durant la crise sanitaire du COVID-19 : pourquoi ?

En parallèle des préoccupations humanitaires et économiques accompagnant la prolifération de la pandémie de COVID-19 à travers le monde et le confinement de milliards d'individus, les secteurs de la finance et de l'assurance sont très conscients du risque cyber qui pèse sur eux.

La propagation du virus s'accompagne malheureusement d'une exposition plus grande des entreprises au risque cyber dans de nombreux secteurs, due notamment à la pratique du télétravail par la plupart des entreprises, augmentant le nombre de cibles potentiellement vulnérables à exploiter, et donc les opportunités pour les cyber-attaquants. A l'image des catastrophes naturelles qui multiplient les cas de fraude, la crise du COVID-19 s'accompagne de tensions exacerbées sur l'infrastructure informatique. Si la nature des cybermenaces et des vulnérabilités sont largement connues, évitables et défendables, ce qui est plutôt rassurant, reste à savoir si cet environnement modifié de risque cyber sera temporaire ou s'il deviendra la nouvelle norme pour les entreprises.

Les facteurs de risque cyber sont multiples

Comment expliquer la vulnérabilité des entreprises au risque cyber dans le contexte du COVID-19 ? Elle est due à une migration hâtive ou mal préparée des équipes vers un mode opératoire à distance, dans lequel les employés doivent accéder aux réseaux internes de l'entreprise depuis l'extérieur.

La source du problème peut être la capacité insuffisante de l'infrastructure informatique de l'entreprise à faire migrer la main-d'œuvre d'un environnement centralisé sur site vers des environnements distants distribués. Il faut, pour cela, un réseau privé virtuel (VPN) ou une infrastructure de serveurs adaptés pour faire face à l'augmentation de la charge de calcul et de la bande passante.

D'autres facteurs de vulnérabilité existent, comme une gouvernance des données immature ou inexistante, ou une stratégie et une architecture de sécurité inadéquates pour gérer l'identité virtuelle et physique, les accès et les clés, les interfaces de programmes d'application (API) ou encore le stockage et la transmission des données.

Enfin, la vulnérabilité peut venir de l'application inefficace des politiques de travail à distance, avec des configurations VPN inappropriées pour les réseaux d'entreprise, ou le recours à des équipements non fournis par l'employeur, l'installation de versions de logiciels malveillants, ou encore la non-mise à jour régulière des outils informatiques.

Les points d'attention à surveiller

Avec la généralisation du télétravail, la fréquence des menaces augmente inévitablement, et leur degré de gravité dépend de la capacité des entreprises à mettre en œuvre des mesures de résilience.

Certains types d'attaque, comme l'ingénierie sociale et les escroqueries par harponnage et spamming, sont particulièrement doués pour compromettre les comptes de messagerie des entreprises. Selon les statistiques de cybercriminalité, le phishing et les difficultés de détection sont en pleine croissance. Les cybercriminels privilégient notamment la compromission des courriers électroniques pour obtenir des informations sensibles ou commettre des fraudes, tirant profit des sentiments de crainte et de panique éprouvés par la population durant une situation de crise sanitaire et incitant davantage d'utilisateurs que d'habitude à cliquer sur des pièces jointes ou des liens infectés dans les emails.

L'attaque par déni de service (DoS) est un autre vecteur : avec le déploiement du VPN et d'autres applications de communication (comme la messagerie instantanée ou la vidéoconférence), la dépendance à l'égard des infrastructures de télécommunication est plus forte, induisant une plus grande fréquence des attaques malveillantes destinées à perturber ces services. Le risque d'agrégation pour ces infrastructures augmente avec les interruptions complètes ou les perturbations de service dues aux DDoS.

Enfin, les attaques par ransomware ne devraient a priori pas causer plus de dégâts qu'en temps normal, seulement si les travailleurs à distance sont correctement isolés des serveurs de production et des bases contenant les données critiques.

Quelles bonnes pratiques d'hygiène cyber pour les entreprises ?

Les entreprises peuvent renforcer la confidentialité, la disponibilité et l'intégrité de leurs données et systèmes commerciaux durant la période de travail à distance grâce à certaines solutions. A l'image des recommandations d'hygiène dans le cadre du COVID-19, les entreprises doivent elles aussi suivre des principes d'hygiène cyber pour réduire leur exposition au risque : cela passe par la mise en place, pour les travailleurs à distance, d'une infrastructure VPN fiable et robuste, accessible via une authentification multifactorielle, mais aussi des caméras de surveillance à distance correctement sécurisées, ou encore des recommandations strictes portant sur la sécurité des mots de passe.

De façon générale, les entreprises doivent régulièrement rappeler aux employés les politiques et pratiques de sécurité adaptées pour faire face aux menaces de phishing et d'ingénierie sociale.

Faire face au COVID-19

Les fournisseurs de services d'assurance et financiers constatent eux aussi cette intensification du risque cyber durant la crise actuelle, notamment à cause de la dépendance aux infrastructures d'information et de télécommunication, qui leur apportent, en contrepartie, un gain en efficacité. Le résultat ? Une augmentation de la fréquence et de l'ampleur des dommages systémiques subis.

Pour réduire l'exposition au risque, il est important d'en comprendre la nature, la portée et l'impact, une étape essentielle pour les assureurs et autres sociétés de gestion des risques afin de définir les segments et d'adapter les prix, d'identifier les mauvais risques, de comprendre l'exposition au risque dans un portefeuille et de déterminer le degré d'automatisation des réclamations. Les solutions d'analytique et de sciences des données sont un bon atout pour aider les décideurs, les souscripteurs et les responsables de la gestion des risques et des sinistres à mieux diagnostiquer, quantifier, prévoir et remédier à ces risques cyber grâce aux données et éléments disponibles, par exemple les projections de scénario sur les ransomwares et la vulnérabilité.

Si tous les pays du monde sont passés d'une logique de prévention à une logique de limitation face au COVID-19, il est encore temps de prévenir l'évolution du risque cyber et ses conséquences. Cela passe par la recherche d'indicateurs de risque pour répondre aux questions de fréquence, de distribution et de gravité du risque. Les outils d'analyse et les plateformes de données et de connaissances sont particulièrement utiles pour combler le manque d'interprétation du risque pour les acteurs de la finance et de l'assurance.