Les assureurs deviennent des cibles de choix pour les cyberattaques

Bertrand De Meyer
Quelques semaines après l’attaque contre April, le groupe Adelaïde a annoncé avoir subi une tentative d’intrusion. Les assureurs doivent se mettre au niveau.

Le passage de la probabilité aux faits est parfois bien rapide. Quelques mois après l’attaque contre Axa qui soulignait le risque cyber planant sur le secteur financier, trois courtiers en assurance ont communiqué en l’espace de quelques mois sur des attaques. AssurOne, courtier d’assurance digitale filiale du groupe Prévoir, a confirmé une tentative de rançongiciel du groupe de hackers Ragnarok en août. Début novembre, c’est April qui a reconnu avoir été la victime d’une tentative d’intrusion dans son système d’information. Enfin, le groupe Adelaïde, qui regroupe Verlingue, Génération et Cocoon, indique sur son site internet avoir subi «une tentative d’intrusion de ses systèmes informatiques le 27 novembre 2021».

Les mutuelles ne sont pas épargnées. En juillet 2020, les systèmes de MMA ont été particulièrement touchés lors d’une «tentative d’acte malveillant» ciblant les entités du groupe Covéa. Le fonctionnement de la Mutuelle nationale des hospitaliers (MNH) a lui été perturbé de longues semaines en février à la suite d’une attaque.

Conséquences opérationnelles

A l’exception d’Axa, aucune société n’a pour le moment indiqué avoir perdu des données ou payé une cyber rançon pour retrouver une situation normale. Mais les conséquences sont opérationnelles. «Afin de garantir l’intégrité de l’ensemble des systèmes et données ainsi que d’effectuer les analyses techniques, il a été décidé d’interrompre toute activité informatique a minima pendant les 48 prochaines heures. Ainsi, l’ensemble des extranets et sites de services clients ont été déconnectés», précise par exemple sur son site Adelaïde. «Les conséquences sont forcément opérationnelles puisque l’on peut être amené à fermer le système d’information, ce qui affecte le fonctionnement de l’entreprise», résume Michaël Bittan, responsable des activités cybersécurité d’Accenture en France.

La majorité des groupes dispose toutefois de processus qui permettent de réagir vite et de relancer l’activité. «Les premières heures ont été décisives. Nous avons été capables de cantonner l’attaque sur un seul site et de continuer l’activité grâce à la mise en place d’un plan de continuité en fournissant de nouveaux ordinateurs, tout en signalant l’attaque à la Cnil et en déposant plainte au commissariat», décrit à L’Agefi une porte-parole d’AssurOne, dont le site de Pont-Audemer dans l’Eure a été visé par les pirates. En dix jours, les collaborateurs et clients avaient à nouveau accès à 95% des activités de la société.

Des assureurs ciblés…

Au-delà des conséquences, c’est la multiplication des attaques qui questionne. «Il existe des raisons philosophiques et éthiques qui justifient que les hackers s’attaquent aux assurances. Mais aussi économiques avec un potentiel de gains important», explique Sarah Duyndam, responsable de la France pour le spécialiste de la sécurité informatique Infoblox. Les assureurs disposent de données rares qui pourront nourrir plus tard des attaques ciblées : elles sont donc mieux valorisées à la revente et permettent de demander des rançons plus élevées.

Des raisons techniques rentrent aussi en jeu. «Dans le secteur de la finance, la banque s’est beaucoup renforcée, obligeant les attaquants à chercher des portes d’entrées plus faibles. Les assureurs font parfois office d’acteurs moins sécurisés même si l’entreprise visée est souvent un maillon faible par lequel on souhaite en réalité remonter la chaîne», décrypte Michaël Bittan. Des vulnérabilités qui se sont accrues avec la pandémie, rappelle Sarah Duyndam : «La crise sanitaire a changé la méthodologie de travail – notamment avec la mise en place du télétravail – ce qui expose les réseaux, auparavant très fermés, et crée des opportunités pour les cyberattaquants.»

… et pas au niveau

L’Autorité de contrôle prudentiel et de résolution (ACPR) avait lancé l'alerte au mois de juillet, appelant les organismes d’assurance à mieux appréhender ce risque en pleine explosion. «Dans le courtage, les acteurs qui sont le plus souvent des agents intermédiaires n’ont pas forcément les niveaux de sensibilisation au risque nécessaire, ou ne le matérialisent pas», confirme Sarah Duyndam. Les attaques sont d’ailleurs souvent l’occasion d’une prise de conscience : «Cette attaque a accéléré les processus déjà entamés, notamment concernant le basculement des serveurs du site attaqué vers nos serveurs situés à Asnières-sur-Seine où le système de sécurité a été changé. Nous restons humbles : on y passe tous et on y repassera tous», décrit-on chez AssurOne.

«La prise de conscience a eu lieu et on observe une volonté de s’aligner sur les attentes», relève Michaël Bittan. «Le régulateur tente de pousser vers un niveau d’Opérateurs de services essentiels (OSE) mais cela peut alourdir le coût de l’IT et donc peser sur la compétitivité, notamment à l’international», ajoute le consultant. Le niveau OSE caractérise des acteurs fournissant un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société. A la suite de la directive Network and Information Security (NIS), il élargit à de nombreuses entreprises l’obligation de renforcer leur cybersécurité dans la veine de la loi de programmation militaire (LPM). Une question vitale pour les organismes d’assurance.