Aujourd’hui, dans le secteur de l’assurance, les évolutions technologiques vont de pair avec les risques de cyberattaques.

Les progrès en matière d’innovation contribuent fortement à la croissance économique du secteur de l’assurance. Cependant, dans ce secteur, si le besoin d’innovations est important, il s’avère nécessaire de l’équilibrer avec une grande attention et des stratégies adaptées aux risques en matière de sécurité et, plus particulièrement, de fuite ou vol de données sensibles. Ainsi, au cours des dernières années, ce secteur s’est en effet développé. Mais, étant donné l’importance des risques, il a aussi dû augmenter ses dépenses en cybersécurité.

Traitement de données sensibles

Les démarches en termes de cybersécurité sont une priorité dans le secteur de l’assurance. Ceci est vrai car les compagnies et les courtiers collectent et traitent des données dites «sensibles», selon la loi LPD suisse, et «spéciales», selon le Règlement RGPD de l’Union Européenne. Il s’agit, par exemple, de données de santé, relatives aux assurances médicales ou aux assurances vie, de préférences sexuelles, en lien avec la famille assurée, les mariages ou les partenariats enregistrés. Ces données peuvent également concerner des mesures sociales telles que l’AI ou les retenues sur les salaires. D’ailleurs, les assurances ou courtiers peuvent aussi collecter des informations relatives aux appartenances politiques ou syndicales, aux convictions philosophiques ou religieuses.

Les risques en matière de cyberattaques

Aujourd’hui, de plus en plus, les attaques se diversifient sur des systèmes toujours plus complexes et fragiles. Ceci rend difficile l’établissement d’une liste des priorités. Cependant, les sources de risque dans le secteur de l’assurance concernent surtout les pirates informatiques. Ainsi, le risque numéro un pour une compagnie d’assurance est le vol, de longue durée et de grande ampleur, des données clientèle qui deviendraient publiques.

Dans ce cas, le dégât d’image résulterait en une perte commerciale importante. Il existe également des risques représentés par les acteurs malveillants y compris à l’interne des organisations. Autrement dit, un risque important pour une assurance concerne le chiffrement in situ de ses données clients par un rançongiciel ou ransomware. En revanche, pour ce dernier, il existe des remèdes assez robustes à la portée d’une compagnie d’assurances. Il ne faut pas oublier que les accidents d’origine naturelle sont aussi une source de risques importante.

La protection des données en Suisse

La protection des données personnelles est un principe inscrit dans la Constitution depuis fort longtemps. L’utilité de ce dernier, et des lois qui en découlent, est de protéger le citoyen individuel contre les dérives du traitement de ses données par la puissance publique ou par une organisation privée. Ce principe est donc essentiel mais il doit encore être appliqué par une technologie qui augmente continuellement la portée de ses capacités.

Aujourd’hui, la Loi sur la Protection des Données personnelles et son ordonnance, l’OLPD, régissent la protection des données personnelles pour les entités fédérales et privées. Des lois cantonales équivalentes ont également été mises en place, qui régissent les organes cantonaux et entités relevant des cantons. Bien qu’elle soit nécessaire, l’application de la LPD soulève de nombreux problèmes. Un des principaux concerne les sanctions pénales, relativement faibles, et les dommages-intérêts qui sont difficiles à démontrer. D’ailleurs, l’enchevêtrement des lois fédérales et cantonales, ainsi que leur obsolescence pose également problème. Un autre grand défi concerne le manque de compétences humaines. Plus longtemps les sociétés et les administrations suisses n’appliquent pas les lois de protection des données et moins les ressources humaines locales seront développées en proportion du besoin.

Mise en place d’une bonne stratégie de protection des données

Afin de respecter la loi, les acteurs de l’assurance doivent développer leurs affaires dans un climat de confiance avec les clients. En effet, dans le cas du vol de leurs données, un grand nombre de clients réagissent en changeant de prestataire. Les risques évoluent tous les jours vers plus de complexité, ou richesse, selon que l’on se place du point de vue de l’assaillant ou du protecteur des données. Il n’existe donc pas de recette prête à l’emploi pour définir une bonne stratégie de protection des données des clients. Trois mots-clés peuvent cependant donner la direction à suivre: flexibilité, simplicité et humain. En effet, toute initiative de sécuriser les données par pur automatisme serait vouée à l’échec.

Comment réagir donc à une cyberattaque?

Il faudrait réagir selon un plan confidentiel et prévu à l’avance. Par exemple, il faudrait tout de suite couper les connexions de réseaux informatiques de tous les équipements suspectés. Il faudrait également déclencher de suite le plan d’audit des systèmes et données qui ont été compromis ou non. Sans oublier que les questions suivantes sont essentielles: comment cela s’est-il produit? Depuis combien de temps cette cyberattaque est-elle active? Qui peut l’avoir menée? Suivant la première mesure de gravité et criticité, il faut ensuite déclencher le plan de communication de crise, vers le public, les clients, les partenaires, les autorités et le régulateur (si le RGPD s’applique).

Texte Loïc Dubost, Président de l’Association des Courtiers en Assurance (ACA) et Andrea Tarantini

Advertentie