La menace que pose la cybersécurité est sérieuse et les assureurs doivent mieux se protéger contre les intrusions dans leur banque de données, affirme la firme de consultation KPMG. Il ne suffit plus pour les assureurs de réagir aux attaques, mais bien de s’en prémunir, lance Kevvie Fowler, associé chez KPMG à Toronto.
M. Fowler était conférencier à la conférence sur les enjeux en assurance organisée par KPMG le 29 avril à Québec. Il a dressé un portrait de la situation de l’économie souterraine liée aux cyberattaques. M.Fowler souligne, en citant des experts, que seulement 4 % de l’ensemble des échanges de biens ou de services réalisés par l’entremise de l’Internet se déroulent dans des sites transactionnels ouverts à tous. Le reste est vendu par des réseaux anonymes, accessibles aux initiés de l’Internet invisible. On utilise des logiciels spécialisés pour avoir accès à cette économie invisible, où l’on peut tout se procurer, incluant des mots de passe sécurisés.
Dans cette économie souterraine, tous les renseignements personnels ont une valeur, de 0,50 $ pour l’accès au compte d’un réseau social à 9,95 $ pour une carte de débit, voire 100 $ pour une carte de crédit. La valeur de l’information contenue dans les dossiers de santé aurait une valeur de 47,62 $, selon les sources citées par M. Fowler.
Les systèmes financiers, qui utilisent eux-mêmes des algorithmes très sophistiqués pour surveiller les marchés, sont bien équipés pour détecter les fraudes. Mais en assurance, il faut plus de temps pour détecter les fraudes. Le temps mis à intervenir pour colmater la brèche informatique et rendre public le méfait n’est pas anodin, comme a pu le constater Nationwide. Le 3 octobre 2012, cet assureur américain a été victime d’une brèche qui touchait 1,1 million de consommateurs américains.
Fait plus grave, les gens dont les données personnelles ont ainsi été dérobées n’étaient pas tous des clients de Nationwide, mais aussi des clients potentiels qui avaient demandé une proposition d’assurance avant de la refuser. « Pendant combien de temps l’assureur peut-il, ou doit-il détenir cette information? Il faut se le demander », note M. Fowler. Le risque de perte de réputation associé à ces brèches est considérable, et le manque de transparence ne fait que l’empirer, précise-t-il.
Il ne suffit donc pas de détecter les brèches et de les colmater, mais il faut aussi dévoiler l’existence de ces attaques le plus rapidement possible. Cette approche de divulgation est absolument nécessaire, insiste l’expert. Pour la développer, il suggère aux assureurs de s’inspirer des conseils proposés par le Bureau du surintendant des institutions financières (BSIF) en octobre 2013.
Il ne suffit plus de démontrer que des systèmes ont été mis en place, ceux-ci doivent être efficaces. L’adhésion par la direction aux grands principes de la lutte contre la cybercriminalité est requise, mais il est encore préférable de se munir des installations sécurisées.
La cybersécurité doit préoccuper tous les échelons de l’organisation, ajoute M. Fowler. Les métiers ont grandement évolué et les responsables des technologies de l’information (TI) ont pris du galon. Cette sensibilité au phénomène du cybercrime ne doit pas s’arrêter à la surveillance des systèmes, mais aussi à valider la solidité de ceux des fournisseurs, souligne-t-il.
L’élément le plus important à considérer est le facteur humain. « Toutes les personnes qui travaillent chez vous doivent être conscientes de l’importance de la cybersécurité. Si cela n’est pas le cas, le meilleur gestionnaire des TI ne suffira jamais », dit-il. Il importe donc de changer les comportements qui causent le plus de risque à la sécurité des systèmes.
Il faut mettre l’accent sur la sécurité des aspects les plus cruciaux de l’organisation. À la suite de la panne électrique qui a paralysé une bonne partie de l’Est de l’Amérique du Nord le 14 aout 2003, l’entreprise où il travaillait alors comme gestionnaire des TI a été frappée par un virus. « J’ai su que ça n’allait pas en rentrant au bureau parce que tout le monde dans l’édifice fuyait mon regard », raconte-t-il en souriant.
Le virus avait été propagé par l’entremise d’un serveur auquel était branché un modem qui permettait d’expédier des télécopies. Il rappelle que ces appareils, désormais associés aux imprimantes, sont dotés de bonnes capacités de mémoire. Des données sensibles peuvent y être entreposées pour des périodes suffisamment longues pour qu’un pirate puisse les dérober. Il faut donc instaurer des veilles permanentes sur les échanges de données qui passent par le matériel de l’entreprise. « Si vous constatez qu’un de vos serveurs vient d’expédier 5 téraoctets de données à une adresse IP située outre-mer, ce n’est pas nécessairement une fraude, mais vérifiez quand même! », dit-il.
Kevvie Fowler n’a pas voulu préciser la proportion du budget des TI qui devrait être dévolue à la protection contre la cybercriminalité. Selon les études, on suggère d’y consacrer de 3 à 7 % du budget des TI. « Ce n’est pas la grosseur du budget qui importe, mais l’utilisation des sommes allouées afin de protéger les actifs les plus sensibles », conclut-il