Les assureurs IARD occupent une place tout à fait particulière dans le domaine de la cybersécurité. Leur métier consiste à évaluer les risques. Ils fixent des exigences de sécurité comme conditions de couverture et savent mieux que quiconque ce que coûte une violation de données.

En ce qui concerne leurs propres défenses informatiques, cependant, des lacunes importantes subsistent.

C'est la conclusion principale de Cybersécurité pour les assureurs : concilier sécurité et service, un nouveau rapport publié par l’Insurance Information Institute (Triple-I) en partenariat avec Fenix24. L’étude s’appuie sur des entretiens structurés avec des dirigeants du secteur de l’assurance, évaluant leurs pratiques par rapport aux meilleures pratiques et aux contrôles de sécurité qu’ils exigent de leurs propres assurés.

En conclusion ? Les assureurs ont réalisé des investissements importants dans la cybersécurité. Mais « importants » ne signifie pas pour autant « suffisants ».

Où se trouvent les lacunes

Le rapport a mis en évidence des points forts dans plusieurs domaines, ainsi que des aspects susceptibles d'exposer les assureurs à des risques.

Les tests de reprise sont trop limités. La plupart des assureurs mettent en place des sauvegardes immuables et déclarent respecter les objectifs de temps de reprise pour leurs systèmes les plus critiques. Mais ces tests sont généralement effectués sur un seul système dans des conditions idéales, et non sur l'ensemble du réseau ni dans le contexte d'un incident réel. C'est cet écart entre un test contrôlé et une attaque réelle par ransomware qui fait que les entreprises se retrouvent submergées.

Comme l'a souligné Mark Grazman, PDG de Fenix24 : « La plupart des entreprises ont testé leurs plans de reprise en cas de catastrophe naturelle ou de panne informatique classique, mais pas en cas d'attaque par ransomware. Il est essentiel de comprendre ce qui se passe réellement lors d'une attaque par ransomware pour mettre en place une véritable résilience. Ce ne sont pas seulement les sauvegardes qui sont menacées. Les attaquants ciblent et détruisent systématiquement l'infrastructure, notamment Active Directory, les systèmes d'identité, les machines virtuelles, les hyperviseurs et même les communications essentielles comme la messagerie électronique. La planification de la résilience nécessite de comprendre la capacité de survie des sauvegardes, l’architecture de réhydratation et l’intégrité, ainsi qu’une connaissance approfondie des actifs, la hiérarchisation des applications critiques pour l’entreprise et leurs dépendances associées. La résilience est réalisable si l’on sait comment la mettre en place, et c’est là toute la force des connaissances de Fenix24. »

L'authentification présente encore des failles. Chaque assureur participant utilise des gestionnaires de mots de passe d'entreprise et impose des règles strictes en matière de complexité des mots de passe. Tous exigent une authentification multifactorielle pour les comptes administratifs, mais certains autorisent encore l'authentification multifactorielle par SMS et par e-mail. Or, ce sont là deux méthodes que les cybercriminels exploitent régulièrement. Bien que les outils soient en place, leur configuration n'est pas suffisamment rigoureuse.

Le rythme des mises à jour de sécurité est trop lent. Tous les participants effectuent des tests d'intrusion, y compris des scénarios d'ingénierie sociale ciblant le personnel du service d'assistance. Seule la moitié d'entre eux environ déploie des correctifs de sécurité chaque mois, ce qui s'avère insuffisant dans un environnement où les attaquants exploitent les vulnérabilités nouvellement découvertes quelques heures ou quelques jours seulement après leur divulgation publique.

Les contrôles de navigation impliquent des compromis. La plupart des assureurs mettent en place un filtrage DNS et bloquent les transferts de fichiers peer-to-peer ainsi que la messagerie Web. Il s'agit là de mesures efficaces, mais certains ont également recours au « split tunneling » pour les VPN, ce qui achemine une partie de la navigation Internet en dehors du tunnel crypté. Cela améliore l'expérience utilisateur tout en augmentant l'exposition aux attaques de phishing, aux logiciels malveillants et aux tentatives d'interception.

La préparation prime sur la perfection

Ce rapport vient confirmer ce que nous affirmons depuis des années : il n'existe pas de solution de sécurité « parfaite ». La recherche d'une telle solution engendre un faux sentiment de sécurité. Ce qui distingue les organisations résilientes des organisations vulnérables, c'est une préparation systémique, des capacités de reprise validées et l'engagement de l'organisation à s'améliorer en permanence.

Comme toute autre entreprise, les assureurs doivent trouver un équilibre entre sécurité, facilité d'utilisation et efficacité opérationnelle. C'est une réalité. Mais le rapport montre clairement que l'écart entre « nous disposons de sauvegardes » et « nous sommes en mesure de nous remettre d'une attaque par ransomware » reste dangereusement grand, même parmi les entreprises qui évaluent précisément ce risque pour leurs clients.

Le marché de la cyberassurance est en pleine croissance. Les menaces se multiplient encore plus vite.

Le marché de l'assurance cyber a atteint 15,3 milliards de dollars de primes nettes souscrites en 2024, et les prévisions tablent sur 16,3 milliards de dollars en 2025. Les ransomwares restent l'une des principales causes de sinistres couverts par les assurances, et l'interruption d'activité représente environ la moitié du coût moyen d'un million de dollars lié à ces incidents.

Si les assureurs ne parviennent pas à remettre rapidement leurs propres systèmes en état de marche, ils ne pourront pas répondre aux besoins des assurés qui comptent sur eux.

C'est la reprise qui fait la différence

Les conclusions de ce rapport confirment ce que Fenix24 constate chaque jour sur le terrain. Les entreprises investissent dans la cyber-résilience. Elles achètent les outils, effectuent les tests, cochent les cases. Mais lorsqu'un pirate parvient à s'infiltrer (et il y parviendra), la question qui se pose est la suivante : serez-vous en mesure de vous remettre sur pied ?

Télécharger le rapport complet : La cybersécurité pour les assureurs : concilier sécurité et service pour découvrir où en est le secteur, où se situent les lacunes et ce qu'il faut faire pour les combler.